Falha de segurança no app do #Nubank

Fala galera,

Depois de alguns meses vou expor com mais detalhes a vulnerabilidade encontrada no aplicativo do nubank.com.br.

obs: Esses meses de espera foram suficientes para que a empresa conseguisse corrigir o problema.

Bem, ao utilizar o aplicativo do nubank detectei algumas atividades que não faziam sentido. Eu estava recebendo notificações de transações que eu não tinha realizado, na verdade eu não teria nem como realizar aquelas transações, pois naquele momento estava sem limite para transações dos valores que fui notificado. Por um momento pensei que meu cartão tinha sido clonado. Ao comentar com meu primo, que por sinal também é desenvolvedor, percebemos que as transações realizadas foram feitas por ele. Ele tinha realizado o login e o logout no meu dispositivo. Em seguida, eu entrei na minha conta. Desse momento em diante eu conseguia visualizar suas transações (Valores, localizações, horários) através das notificações de cada transação. 
Segue as imagens:

Como podem observar eu não possuía limite suficiente para estas compras.
Ao perceber a falha, por sorte consegui o contato com o CEO do Nubank, o David Velez, isso mesmo, o CEO do Nubank.

Reportei o problema para ele via whatsapp, o mesmo agradeceu o feedback e em seguida o engenheiro chefe do Nubank me ligou pedindo mais detalhes sobre a falha, desta forma eu passei o fluxo que realizei até acontecer a falha.

Segue mais imagens:

Depois de algumas horas o engenheiro de Segurança encontrou o motivo da falha. Na imagem abaixo ele a descreve:

Ele me falou sobre um Termo de Abertura que poderia ser feito caso eu tivesse o interesse, falou também que não prejudicaria a empresa. Que na verdade é esse post que estou divulgando.

Bem, acredito que o bug foi corrigido depois de todo esse tempo. Eu não tenho certeza pois eles não responderam mais minhas mensagens via whatsapp. Antes de falar com o CEO e o Engenheiro de Segurança aconteceu um fato interessante. Mandei mensagens pelo chat do aplicativo e pedi para falar diretamente com a equipe de desenvolvimento e fui informado que não era possível. Dei alguns detalhes sobre o ocorrido e a atendente informou que a equipe já estava ciente do problema e já estavam solucionando o problema. (Ficou na cara que era mentira, né verdade?). O chat está indisponível hoje, desta forma não consegui capturar um print agora.

Muitos perguntam o que eu recebi em troca, na verdade eu não recebi nada do Nubank, nem mesmo adesivos para colocar no meu notebook, rsrs. De fato eles comentaram sobre algumas oportunidades para programadores na empresa, caso eu tivesse interesse, porém as vagas em aberto não utilizavam tecnologias que eu gosto e tenho experiência (Javascript, Angular, Ionic, Bootstrap, Formly, NodeJS, MongoDB, Java, etc), além disso o engenheiro de Segurança “Jonas Abreu” perguntou se eu tinha interesse na área de segurança e falou de algumas oportunidades lá também, porém eu informei que não era minha área de atuação e que desta forma não tinha interesse de tentar.

Apesar disto, acredito muito no potencial da Nubank, é uma empresa que admiro muito e revolucionou o mercado financeiro digital no Brasil.

Um exemplo de inovação para muitas empresas financeiras que existe no Brasil.

Bem, este foi um resumo do acontecido.

Linkedin: https://www.linkedin.com/in/rafaelnilton
E-mail: rafaelniltonwd@hotmail.com

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.