Como cancelar um pagamento agendado no app do NubankPicPay e Mercado Pago podem ser invadidos em celular desbloqueado com Gmail
No final de fevereiro, o Nubank começou a pedir a senha do celular (geralmente biometria) para acessar o app. Aparentemente, essa exigência ainda podia ser facilmente burlada antes da última atualização, liberada no dia 6 de maio. No primeiro acesso ao aplicativo, não se pedia a senha do celular, mas sim o código de acesso do app, o CPF do usuário e um número de confirmação enviado por e-mail. Na prática, bastava reinstalar ou limpar os dados do aplicativo do Nubank para voltar à tela inicial.
Como ocorria a invasão ao app do Nubank
O criminoso precisava descobrir o CPF da vítima e conseguir acesso a algum e-mail da pessoa. Nesse caso, o elo mais fraco é o Gmail, já que, diferentemente do Apple Mail e do Outlook, o app não pode ser protegido por senha no Android e nem no iOS. Na maioria dos casos, o invasor consegue descobrir o CPF da pessoa buscando pela informação entre os e-mails. Com o principal dado de login em mãos, o criminoso podia tentar novamente acessar a conta do banco digital e pedir para redefinir a senha do aplicativo do Nubank. Ainda que um endereço de e-mail que não seja do Gmail possa já estar cadastrado, há uma opção “perdi acesso ao meu e-mail”. Assim, basta colocar o endereço do Gmail e redefinir a senha do aplicativo por meio do link de recuperação enviado. Com CPF e senha do app em mãos, o criminoso já tinha completo acesso à conta Nubank da vítima. Claro, ele ainda não poderia saber a senha de quatro dígitos do cartão, mas isso não era um grande problema. Ao acessar o menu “Perfil” no app, basta clicar em “Meus Dados” e a opção “Consultar senha de 4 dígitos” aparece. Para esse acesso, o Nubank pede apenas a senha do aplicativo. De acordo com nossos testes, a senha de quatro dígitos do cartão é o suficiente para realizar transferências (como Pix), pagamentos de boletos e ainda acessar o cartão virtual da vítima ou criar um novo. Em nenhum desses processos se pede a senha do celular. No entanto, não é mais possível acessar o aplicativo do banco digital se houver alguma senha ativada no celular roubado. Atualmente, mesmo reinstalando o app ou limpando seus dados, a impressão digital, reconhecimento facial ou senha do celular é solicitada para fazer login no aplicativo do Nubank.
Vítimas relatam invasões após terem celulares roubados
O Tecnoblog conseguiu identificar mais de dez relatos no Twitter de usuários do Nubank que tiveram suas contas invadidas após terem seus celulares roubados em maio e abril de 2022, antes da última atualização. Pelos nossos testes, o smartphone da vítima precisava estar desbloqueado para isso, mas pode ser que criminosos também tenham encontrado outra maneira de acessar o dispositivo. Um dos relatos é de uma pessoa que teve seu celular furtado pela janela de um táxi, enquanto o aparelho estava desbloqueado, no dia 5 de maio. Assim que ele conseguiu acesso à sua conta Nubank usando outro dispositivo, percebeu a movimentação de um total de R$ 27 mil por meio do pagamento de boletos. Mais uma cliente do Nubank contou em um tweet que seu celular foi roubado da mesma forma — debloqueado —, e que suas economias também foram levadas. Outro usuário do Twitter postou que ele mesmo tentou “hackear” o próprio app do Nubank, realizando os mesmos testes feitos pelo Tecnoblog. Na época, ele também conseguiu transferir livremente os fundos da conta e realizar pagamentos, sem a exigência de biometria. O Tecnoblog entrou em contato com o Nubank para esclarecimentos sobre o problema e recebeu o seguinte posicionamento: No entanto, os mecanismos de segurança mencionados pela empresa não foram acionados em nossos testes realizados no dia 6 de maio. De qualquer forma, parece que a vulnerabilidade já foi resolvida pela fintech.