separador
Atualizado:
Reportagem do site O Consumerista, de 10/07/2020
Esta semana não tem sido de águas calmas para o Nubank. A fintech teve expostos o nome, o CPF e outros dados de alguns clientes no Google, que podiam ser visualizados por meio de um link compartilhável. Na terça-feira, 7, diversos correntistas reclamaram do “sumiço” de valores de sua conta corrente. Aparentemente, contudo, os dois casos são independentes entre si.
A falha de segurança ligada aos dados dos clientes ocorreu por meio da função “Cobrar”, em que correntistas geram links compartilháveis, com QR Codes, para que outras pessoas, inclusive não clientes, possam efetuar pagamentos. Esse link trazia o valor da conta a ser paga, além dos dados bancários para a realização da transação. Cada link possuía uma URL própria.
O pesquisador Heitor Gouvêa, contudo, revelou uma brecha: valendo-se de “dorks”, que são parâmetros de busca específicos, ele conseguia ter acesso aos links através de buscadores, como o Google. Assim, poderia obter os dados bancários e pessoais do correntista que tivesse gerado determinado link de pagamento.
“Esse caso do Nubank mostra como acontecimentos simples podem colocar os dados pessoais em jogo. O fato de não ter sido tomado um cuidado básico na hora de disponibilizar as URLs deixaram disponíveis e vulneráveis dados pessoais”, avalia a pesquisadora em direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Bárbara Prado Simão.
Gouvêa, que descobriu a falha, agrupou os dados vazados e em poucos minutos conseguiu ter acesso a uma lista com mais de 100 nomes e seus respectivos CPFs e dados bancários.
Em nota enviada ao site “The Hack”, o Nubank reconheceu a exposição e disse que fez modificações em seu aplicativo para que esses links não sejam encontrados em buscadores. Além disso, a fintech ressaltou que os links são gerados exclusivamente em seu aplicativo pelos clientes.
DE QUEM É A CULPA?
Diferentemente dos vazamentos de dados mais comuns, quando a falha na proteção parte quase que exclusivamente da gestora dos dados, no caso a empresa, a exposição dos dados do Nubank tem origem nos links gerados pelos próprios usuários, que podem ter caído na rede por descuidos dos clientes. Apesar disso, segundo Simão, do Idec, o Nubank pode ser responsabilizado.
“Pode ser culpado, pois a empresa deve controlar com o máximo de segurança possível os dados das pessoas, tanto de acordo com o Código de Defesa do Consumidor como com a Lei Geral de Proteção de Dados”, explica.
O QUE FAZER
Apesar de os dados expostos não abrirem margens para saques, eles podem ser usados para uma infinidade de fraudes bancárias e gerais, como a contratação de empréstimos e contração de dívidas. Um exemplo de uso irregular de dados que tem ficado em evidência são os pedidos falsos do Auxílio Emergencial.
De acordo com a especialista do Idec, o Nubank teria a obrigação de notificar os clientes cujos dados ficaram vulneráveis, possibilitando que fiquem atentos a eventuais fraudes. Além disso, ela diz que os clientes podem entrar em contato com a instituição e, no caso de vazamento, têm a opção de acionar o Procon e até mesmo a Justiça.
SUMIÇO DO DINHEIRO
Como se não bastasse, nesta terça-feira muitos correntistas do Nubank acusaram mais um problema da instituição financeira: algumas contas haviam passado por um ajuste, debitando valores diversos, normalmente limitados a R$ 600.
Em nota, o Nubank explicou que o ajuste tratava-se de uma correção de depósitos vindos da Caixa Econômica Federal que, por um erro do banco estatal, haviam creditado valores excedentes. Algumas correções, contudo, foram feitas de forma incorreta, o que assustou os clientes. Em alguns casos, usuários relataram o sumiço de milhares de reais.
O problema teria acontecido entre 15 de abril e 10 de junho e corresponderia a transações feitas via boleto bancário. O Nubank reconheceu que alguns débitos foram feitos por engano e disse que todos os clientes serão ressarcidos.
AUXÍLIO EMERGENCIAL
Apesar de não haver evidências, o problema tangencia a questão do auxílio emergencial em três pontos. Primeiro, por se tratar de um erro da Caixa. Segundo, pelos valores normalmente não terem ultrapassado os R$ 600. Por último, porque muitos beneficiários do Auxílio estavam gerando boletos no Nubank para “driblar” a impossibilidade de sacar o dinheiro da conta digital da Caixa.
A instituição financeira, entretanto, não deu indício de ligação entre as duas coisas.