O Nubank é hoje um dos cartões de crédito mais desejados dos jovens brasileiros. Com uma proposta simples e que permite ao usuário controlar seus gastos via app, o cartão da Fintech Nubank conta com uma considerável fila de gente esperando para poder colocar as mãos em um cartão. Recentemente, investindo em segurança, o Nubank alterou a política de privacidade para combater fraudes no cartão de crédito, mas mesmo assim um usuário achou uma brecha de segurança no aplicativo.

A falha descoberta no aplicativo Nubank abria uma brecha para a violação de privacidade e permitia que usuários visualizassem compras e valores gastos por outros clientes do serviço por meio de notificações. A descoberta foi feita pelo usuário Rafael Nilton que fez um relato de como descobriu a falha e como foi o contato com a empresa.

Segundo relato do usuário, que é desenvolvedor de software, um primo usou o app do Nubank em seu celular e, mesmo depois de deslogar, todos os dados eram enviados para Nilton por meio de notificações. Ele relata que

Por um momento pensei que meu cartão tinha sido clonado. Ao comentar com meu primo, que por sinal também é desenvolvedor, percebemos que as transações realizadas foram feitas por ele. Ele tinha realizado o login e o logout no meu dispositivo. Em seguida, eu entrei na minha conta. Desse momento em diante eu conseguia visualizar suas transações (Valores, localizações, horários) através das notificações de cada transação

O erro, apesar de ser bem específico, abria uma brecha para a violação de privacidade já que todos os registros do Nubank incluem até horário e local onde a compra foi feita. Com isso, Nilton tentou entrar em contato com a equipe de suporte do Nubank, mas não teve sucesso. Ele então conseguiu o contato do CEO da Fintech, David Velez, que fez o encaminhamento para que a equipe responsável corrigisse o problema. Veja a conversa nos prints abaixo

Com isso, o Nubank se manifestou em comunicado afirmando que o problema ocorreu em junho e já foi resolvido.

Não comentamos casos isolados de segurança para não incentivar comportamentos maliciosos e proteger os nossos clientes, mas estamos constantemente trabalhando para melhor nossos serviços e estamos sempre abertos a feedbacks externos. Esse foi um comportamento raro dentro da nossa base de usuários e, a partir do momento que nossa equipe de segurança da informação foi notificada, fizemos uma atualização no nosso serviço de notificações para garantir que em nenhuma situação casos semelhantes voltem a ocorrer