Falha no app da Nubank permitia visualização de compras de outros usuários

Uma falha de segurança no aplicativo da Nubank enviava de notificações de transferências realizadas por outros usuários para clientes da fintech. De acordo com o desenvolvedor Rafael Nilton, em relato publicado no Medium, ele começou a receber notificações de todas as compras realizadas por outro usuário que havia logado e deslogado a própria conta no celular de Nilton.

O desenvolvedor comenta que, mesmo após outro usuário ter se deslogado do app da Nubank em seu aparelho, ele continuou recebendo as notificações de transferência. Felizmente, eram conhecidos — mas, mesmo assim, isso se enquadra em uma violação de privacidade.

A brecha de segurança feria o princípio da privacidade.

"Eu estava recebendo notificações de transações que eu não tinha realizado, na verdade eu não teria nem como realizar aquelas transações, pois naquele momento estava sem limite para transações dos valores que fui notificado. Por um momento pensei que meu cartão tinha sido clonado. Ao comentar com meu primo, que por sinal também é desenvolvedor, percebemos que as transações realizadas foram feitas por ele", explica Rafael. "Ele tinha realizado o login e o logout no meu dispositivo. Em seguida, eu entrei na minha conta. Desse momento em diante eu conseguia visualizar suas transações (valores, localizações, horários) através das notificações de cada transação".

No relato, o desenvolvedor comentou que a Nubank sempre foi solicita na resolução de problemas e contatou o próprio CEO, David Velez, para ajudar no processo de identificação da falha. "Bem, acredito que o bug foi corrigido depois de todo esse tempo", comentou Rafael.