Nubank tinha falha de segurança que facilitava roubo de dinheiro usando o Gmail


Antes da última atualização do app do Nubank, vários clientes relataram que, após terem seus celulares desbloqueados roubados, perderam dinheiro por terem suas contas do banco digital invadidas. Aparentemente, os criminosos conseguiam descobrir o CPF do usuário, redefinir a senha do aplicativo e visualizar a chave de quatro dígitos do cartão. Mas, como isso podia acontecer? O Tecnoblog fez alguns testes e descobriu um dos possíveis mecanismos utilizados.

Como cancelar um pagamento agendado no app do NubankComo gerar um novo cartão virtual no NubankCom celular desbloqueado, criminosos conseguem acessar conta Nubank da vítima (Imagem: Vitor Pádua/ Tecnoblog)

No final de fevereiro, o Nubank começou a pedir a senha do celular (geralmente biometria) para acessar o app. Aparentemente, essa exigência ainda podia ser facilmente burlada antes da última atualização, liberada no dia 6 de maio.

No primeiro acesso ao aplicativo, não se pedia a senha do celular, mas sim o código de acesso do app, o CPF do usuário e um número de confirmação enviado por e-mail. Na prática, bastava reinstalar ou limpar os dados do aplicativo do Nubank para voltar à tela inicial.

Como ocorria a invasão ao app do Nubank

O criminoso precisava descobrir o CPF da vítima e conseguir acesso a algum e-mail da pessoa. Nesse caso, o elo mais fraco é o Gmail, já que, diferentemente do Apple Mail e do Outlook, o app não pode ser protegido por senha no Android e nem no iOS.

Na maioria dos casos, o invasor consegue descobrir o CPF da pessoa buscando pela informação entre os e-mails. Com o principal dado de login em mãos, o criminoso podia tentar novamente acessar a conta do banco digital e pedir para redefinir a senha do aplicativo do Nubank.

Ainda que um endereço de e-mail que não seja do Gmail possa já estar cadastrado, há uma opção “perdi acesso ao meu e-mail”. Assim, basta colocar o endereço do Gmail e redefinir a senha do aplicativo por meio do link de recuperação enviado.

Redefinir senha por e-mail no app do Nubank (Imagem: Screenshot/ Tecnoblog)

Com CPF e senha do app em mãos, o criminoso já tinha completo acesso à conta Nubank da vítima. Claro, ele ainda não poderia saber a senha de quatro dígitos do cartão, mas isso não era um grande problema.

Ao acessar o menu “Perfil” no app, basta clicar em “Meus Dados” e a opção “Consultar senha de 4 dígitos” aparece. Para esse acesso, o Nubank pede apenas a senha do aplicativo.

Com senha do app, é possível descobrir facilmente a senha do cartão Nubank (Imagem: Screenshot/ Tecnoblog)

De acordo com nossos testes, a senha de quatro dígitos do cartão é o suficiente para realizar transferências (como Pix), pagamentos de boletos e ainda acessar o cartão virtual da vítima ou criar um novo. Em nenhum desses processos se pede a senha do celular.

No entanto, não é mais possível acessar o aplicativo do banco digital se houver alguma senha ativada no celular roubado. Atualmente, mesmo reinstalando o app ou limpando seus dados, a impressão digital, reconhecimento facial ou senha do celular é solicitada para fazer login no aplicativo do Nubank.

Vítimas relatam invasões após terem celulares roubados

O Tecnoblog conseguiu identificar mais de dez relatos no Twitter de usuários do Nubank que tiveram suas contas invadidas após terem seus celulares roubados em maio e abril de 2022, antes da última atualização. Pelos nossos testes, o smartphone da vítima precisava estar desbloqueado para isso, mas pode ser que criminosos também tenham encontrado outra maneira de acessar o dispositivo.

Um dos relatos é de uma pessoa que teve seu celular furtado pela janela de um táxi, enquanto o aparelho estava desbloqueado, no dia 5 de maio. Assim que ele conseguiu acesso à sua conta Nubank usando outro dispositivo, percebeu a movimentação de um total de R$ 27 mil por meio do pagamento de boletos.

O desespero bateu, mas ninguém sabe minhas senhas e nunca anotei.

Minhas contas no @BancodoBrasil e @nubank são com reconhecimento fácil, não tem como entrar.

Cheguei em casa e peguei um cel velho que tinha. Preocupado com meu e-mail, entrei no Nubank só pra ver. 27 mil Reais: pic.twitter.com/PinBO5OdKm

— VanDep (@MrVanDep) May 5, 2022

Mais uma cliente do Nubank contou em um tweet que seu celular foi roubado da mesma forma — debloqueado —, e que suas economias também foram levadas.

roubaram meu celular desse jeitinho mesmo, e invadiram meu nubank tbm. graças a Deus sou universitária fodida eu n tinha muita coisa mas raparam as economias. vejo agr como fui sortuda de n terem pedido empréstimo ou usado o crédito. meu Deus https://t.co/g0a4HBlvDA

— hayar (@hayar05073038) May 7, 2022

Outro usuário do Twitter postou que ele mesmo tentou “hackear” o próprio app do Nubank, realizando os mesmos testes feitos pelo Tecnoblog. Na época, ele também conseguiu transferir livremente os fundos da conta e realizar pagamentos, sem a exigência de biometria.

Tentei hackear meu próprio APP do Nubank pra testar a segurança caso roubem meu celular e foi incrivelmente fácil.

– Loga com o CPF no APP.
– Esqueci a senha.
– Chega link de recuperação no email.
– Altero a senha.
– Logo no APP e é só transferir.

Que belezinha.

— Humor Econômico (@humor_economico) May 6, 2022

O Tecnoblog tentou contato com o Nubank para esclarecimentos sobre o problema, mas não obtivemos resposta até a publicação deste texto. De qualquer forma, parece que a vulnerabilidade já foi resolvida pela fintech.

Nubank tinha falha de segurança que facilitava roubo de dinheiro usando o Gmail


Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *