De acordo com um detalhado relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função “cobrar” — onde é possível criar um QR Code que contém o valor e dados bancários para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que esses links estão visíveis em buscas do Google — sem que os clientes soubessem.
Como prova, Heitor criou um script para listar todas as URLs disponibilizadas no Google e no Bing e conseguiu encontrar, em poucos minutos, uma lista com mais de 100 nomes, CPF’s, agências e número de conta.
Em comunicado à EXAME, o Nubank disse que seu time de segurança “avaliou o relatório produzido sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão”.
A empresa lembra que as URLs para transferências para a conta do Nubank disponibilizadas por esta função são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada.
O Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes.
0 Comentários