Falha no app da Nubank permitia visualização de compras de outros usuários

1 min de leitura
Imagem de: Falha no app da Nubank permitia visualização de compras de outros usuários

Uma falha de segurança no aplicativo da Nubank enviava de notificações de transferências realizadas por outros usuários para clientes da fintech. De acordo com o desenvolvedor Rafael Nilton, em relato publicado no Medium, ele começou a receber notificações de todas as compras realizadas por outro usuário que havia logado e deslogado a própria conta no celular de Nilton.

O desenvolvedor comenta que, mesmo após outro usuário ter se deslogado do app da Nubank em seu aparelho, ele continuou recebendo as notificações de transferência. Felizmente, eram conhecidos — mas, mesmo assim, isso se enquadra em uma violação de privacidade.

A brecha de segurança feria o princípio da privacidade

"Eu estava recebendo notificações de transações que eu não tinha realizado, na verdade eu não teria nem como realizar aquelas transações, pois naquele momento estava sem limite para transações dos valores que fui notificado. Por um momento pensei que meu cartão tinha sido clonado. Ao comentar com meu primo, que por sinal também é desenvolvedor, percebemos que as transações realizadas foram feitas por ele", explica Rafael. "Ele tinha realizado o login e o logout no meu dispositivo. Em seguida, eu entrei na minha conta. Desse momento em diante eu conseguia visualizar suas transações (valores, localizações, horários) através das notificações de cada transação".

No relato, o desenvolvedor comentou que a Nubank sempre foi solicita na resolução de problemas e contatou o próprio CEO, David Velez, para ajudar no processo de identificação da falha. "Bem, acredito que o bug foi corrigido depois de todo esse tempo", comentou Rafael.

Nubank falhaNotificações de outros usuários

  • O TecMundo entrou em contato com a Nubank e você acompanha o posicionamento aqui embaixo:

"Não comentamos casos isolados de segurança para não incentivar comportamentos maliciosos e proteger os nossos clientes, mas estamos constantemente trabalhando para melhor nossos serviços e estamos sempre abertos a feedbacks externos. Esse foi um comportamento raro dentro da nossa base de usuários e, a partir do momento que nossa equipe de segurança da informação foi notificada, fizemos uma atualização no nosso serviço de notificações para garantir que em nenhuma situação casos semelhantes voltem a ocorrer".

A assessoria da Nubank também nos avisou que este problema ocorreu em junho, sendo mitigado logo em seguida.

Categorias

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.