Como se prevenir da invasão pela troca de email

Eu acho que essa foi a solução que o Nubank encontrou considerando custo-benefício. Deve ser barato e efetivo na prática, com pequena margem de erro. Só não queria ser eu nessa margem de erro hehehe

São duas propostas válidas. E, sinceramente, o que vier é lucro, pois hoje o negócio tá triste, ao meu ver. Gosto da ideia da chave de segurança física porque hoje é o que tem de mais avançado em segurança, daria até uma boa campanha de marketing da empresa, mostrando que se preocupa com privacidade e tal.

2 Likes

Se isso fosse feito resolveria o problema, com certeza. Mas será que essa é a melhor opção? Teoricamente, a senha de 4 dígitos só aparece se você tiver acesso ao aplicativo, se não me engano com dispositivo autorizado, e também à senha da conta. Uma pessoa com acesso a isso tudo deveria poder fazer qualquer coisa, afinal não existe nível de confiança maior do que isso. O problema é que o Nubank permite o acesso a isso tudo através de uma vulnerabilidade no processo de troca de email.

Essa senha já deve ser criptografada sim, não imagino o Nubank mantendo essa senha em plain text nos servidores não. Imagino que você esteja se referindo a um hash da senha?

1 Like

Existem formas de criptografar que nem mesmo o Nubank teha acesso à senha, protegendo os usuário em caso de vazamento. É possível gerar a senha localmente e enviar aos servidores da Nu apenas o hash (o suficiente para validar acessos). Assim em caso de perda da senha pelo usuário a única solução é gerar uma nova.

EDIT: Claro que esse solução geraria um custo maior de reemissão e talvez insatisfação de clientes que simplesmente esqueceram a senha

1 Like

Esse jeito se chama hash, criptografia, independente de qual, é reversível, hashing não é. Havia comentado mais pra cima que achava que a senha passava por hash

Tanto a criptografia como o hashing protegem a informação em caso de vazamento, se alguém conseguir acessar o banco de dados deles, encontrará um texto “aleatório e sem sentido”, mesmo que tentem descifrar, não conseguiriam ou levariam séculos para conseguir

A partir daqui está meio confuso, o problema não é o Nubank ter acesso a conta, todas as plataformas tem acesso as suas senhas, parte da sua segurança está na confiança que tu tem nas plataformas que usa

Sequer é possível fazer o hash no dispositivo cliente e enviar apenas o resultado pro Nubank, como seria validado a informação enviada pelas máquinas de cartão ou caixas eletrônicos? Eles teriam que fazer o hash da senha também? Mas nem é possível. Nesse assunto tem outras questões que fazem parte do processo de hash e criptografia, salt, chave privada ou par de chave pública e privada, isso tudo é com o servidor

1 Like

Voce tem razão, fui infeliz deixando falando criptografaia e hashing na mesma frase. Mas como voce disse: hashing não é reversível, se o app consegue retornar o valor da senha então ela está sendo decrepitada por alguma função. No caso do hash eles so teriam o valor dele na base e uma função que gera o hash a cada entrada da senha e compararia os dois, não precisando deixar ela gravada em lugar nenhum.
Meu conhecimento nessa área é bastante limitado, me corrija ai se falei besteira de novo

Boa noite pessoal! Preocupante esses relatos, hem?

A única forma de 2FA que o Nubank oferece é por e-mail e ele ainda pode ser trocado dentro de um procedimento que o usuário não tem controle. Não me parece prudente.

No contexto em que vivemos, onde há exposições constantes de dados privados (lembrando aqui o mega vazamento do Serasa, entre outros casos recentes). Fica evidente que não se pode confiar uma recuperação de conta bastando informar o CPF e uma selfie com um documento de identificação (vide aí novas possibilidades utilizando deep fake).

Entendo que exista o desafio do negócio: como lidar com milhares de usuários que precisam recuperar a conta com o menor ônus possível e de forma rápida. Por um processo manual de revisão das fotos com selfie, a pessoa pode simplesmente cansar da fila de revisão e ir aprovando tudo sem muita diligência. Em um processo automatizado há o risco de falha com falsos positivos.

Em uma das postagens vi a ótima sugestão de realmente fazer valer os 2 dias úteis para a revisão do pedido (e não dentro de 7 horas, como em alguns relatos), dando assim tempo do usuário poder informar ao Nubank essa solicitação indevida.

Mas vou além: por que não implementar opcionalmente para os usuários que assim desejarem um token de autenticação (Google Authenticator/Authy/etc.)?

Uma forma mais rápida ainda para proteger a conta dos usuários, seria disponibilizar uma opção para “impedir troca de e-mail”. Nela, poderia existir um disclaimer que a recuperação de conta poderia ficar prejudicada, podendo demorar até x dias úteis.

Bem lembrado também, em uma das postagens acima, sobre a recuperação de conta do NuInvest via SMS + CPF (ou e-mail). Já é sabido que não devemos utilizar o número de celular para recuperação de contas por causa do SIM swap - ou clonagem de chip. Nesse caso seria interessante esse tipo de recuperação poder ser desabilitado pelo usuário.

Sabendo que o método do envio de selfie também é utilizado para abertura de conta, isso abre portas para um outra possibilidade de fraude: a de criação de contas com CPFs roubados. E esse problema não se restringe apenas ao Nubank, tendo em vista que diversos outros aplicativos/empresas têm utilizado técnica similar para validar a identidade de um indivíduo. Imagine só descobrir que você está devendo um empréstimo em um banco que você nem sequer tinha feito a abertura de conta? Por isso minha recomendação é olhar o Registrato (BACEN) pelo menos uma vez por mês.

2 Likes

Boa tarde, @bluewizard. São ótimas as suas considerações, muito obrigado.

Apenas alguns pontos:

  • Se não me engano, não foi demonstrado que o megavazamento foi do Serasa.
  • Até onde me lembro, por mais que a senha da NuInvest possa ser trocada por SMS, a assinatura eletrônica só pode ser modificada por e-mail. E na NuInvest não há essa falha do fluxo de troca de e-mail que nem no Nubank, até onde conheço.
1 Like

Olá @lucasresck

  • Se não me engano, não foi demonstrado que o megavazamento foi do Serasa.

A referência ao caso foi meramente ilustrativa, dado que é a forma como midiaticamente ele ficou conhecido. Não houve da minha parte intenção de inputar culpabilidade de forma alguma.

  • Até onde me lembro, por mais que a senha da NuInvest possa ser trocada por SMS, a assinatura eletrônica só pode ser modificada por e-mail. E na NuInvest não há essa falha do fluxo de troca de e-mail que nem no Nubank, até onde conheço

Confesso que eu não havia testado todas as possibilidades de recuperação de conta da NuInvest ao escrever o post. Após a sua resposta fui apurar melhor, mas também não fiquei muito feliz. Explico:

Fluxo 1 - Entrada de CPF + Esqueci minha senha

Fluxo 2 - Entrada de senha correta + "Não reconheço este e-mail"


Vamos agora aqui especular um possível cenário de ataque direcionado, onde o atacante possui os dados do alvo (situação que, acredite, é comum - já aconteceu comigo no fim do ano passado e no início deste ano em dois tipos diferentes de golpe).

No fluxo 1 (recuperação de senha) podemos notar que existem duas possibilidades claras de ataque que podem ser exploradas:

  1. Recuperação de senha via SMS (SIM swap), ou;
  2. Por meio do contato telefônico e/ou email e fazendo uso da engenharia social, o atacante poderia convencer que houve troca de número telefônico e/ou e-mail (criando para isso um e-mail com seu nome/sobrenome para dar algum tipo de confiabilidade). O atacante, havendo posse dos dados pessoais, conseguiria responder facilmente a maior parte dos questionamentos. Exemplo: “Qual o nome da sua mãe/pai?”, “Qual é a sua data de nascimento?”. A maior parte das informações que comumente vejo em fluxos de atendimento giram em torno justamente dos dados que foram alvos de vazamento e que sabemos que já são “virtualmente” públicos.

No fluxo 2, é a situação onde é necessário validar o EasyToken. Existe uma opção em que você pode dizer que não reconhece o e-mail cadastrado. Nela o aplicativo prontamente fornece um telefone de contato para que você possa tentar recuperar/liberar o acesso. Note que esse formato de recuperação sofre do mesmo problema do item 2 do fluxo 1 citado acima.

Enfim, na prática a recuperação de fato acaba caindo para um fluxo de suporte em que desconhecemos os protocolos de segurança adotados. Nesse caso também é nítido o ganho de segurança que teríamos se fosse implementado um segundo fator de autenticação em que o usuário também é corresponsável pela segurança (seja na utilização do token OTP e guarda dos códigos de recuperação).

1 Like

Seria interessante termos o conhecimento de como funciona o fluxo de suporte da NuInvest, nesses casos específicos e em geral. Só assim poderíamos garantir pelo menos uma confiabilidade mínima.

2 Likes

Não li toda a discussão, nem pretendo, porem darei aqui minhas sugestões.

1° (cartões com CVV dinâmico) Para trocar dados seria necessário sua senha e a CVV do seu cartão.

2° Algoritmo de proteção baseada em heurística de uso. (Forma de segurar o telefone, força que você normalmente pressiona o touch, qual dedo e qual mão você usa o telefone, você navega tocando por qual parte da tela etc…)
Em especifico, a 2 levantaria questões de privacidade.

Tenho outras ideias, mas no quesito privacidade uma é pior que a outra.

A senha e o CVV pra troca de senha seria uma boa opção, mas e se o usuário não lembra da senha ou não pediu o cartão ainda (o que pode acontecer se ele “cancelou” a conta logo depois de criar porque não gostou e, depois de um tempo, quiser voltar a usar)? Então não poderia ser usado em todos os casos

A segunda não é muito viável, além de complexa e falha. Comumente você usa o celular com o polegar e segurando com sua mão predominante, mas, se você está, por exemplo, tomando café e quer aproveitar o tempo pra fazer algo no Nubank, você usa o celular que deixou em cima da mesa com sua mão não predominante, isso causaria padrões muito abrangentes

Mas poderia utilizar a localização do GPS ou IP como um meio de validação, também não é 100% garantido, mas é meio válido e simples, acredito que já foi mencionado essa opção aqui

1 Like

Por IP não funciona pois a maioria dos dispositivos hoje não tem mais IP estático.

1 Like

O IP ser fixo ou definido por DHCP interfere na localização, mas, em geral, não é um problema. De qualquer forma, ele não é uma ferramenta precisa, o ideal seria usar o GPS

Agora meu medo de invadirem minha conta aumentou. Gostaria que tivesse verificação de duas etapas usando códigos de backup, igual o Google faz.

4 Likes

Complementando, deem uma olhada nesse tópico

3 Likes

Um pouco frustrante (não tão surpreendente), ainda não recebemos uma resposta decente em relação a esse problema, quase três meses depois. Além da Comunidade, tentei o atendimento e a ouvidoria… e nada.

2 Likes

Eu acredito que é justo como cliente exigir uma resposta sobre isso.

Porém, não existe evidência de que essa suposta vulnerabilidade está sendo explorada sistematicamente – o Nubank tem 54 milhões de clientes. Eu já tinha levantado esse tema aqui na comunidade muitas vezes e muito antes deste tópico existir, mas sempre como um exercício/discusssão. Não acredito que seja possível afirmar, com responsabilidade, que o caso de conta invadida que foi reportado aqui na comunidade tenha de fato relação com essa suposta vulnerabilidade.

A autenticação em duas etapas deveria estar disponível em todos os sites e sistemas. Mas o mero fato de não existir opção de 2FA não indica uma vulnerabilidade.

4 Likes

Mandei um e-mail para o suporte, aguardo uma resposta.

Façam o mesmo, quanto mais gente melhor.

e-mail: meajuda@nubank.com.br

A suposta vulnerabilidade a que me refiro é a invasão de contas pela troca de e-mail, não o fato de não haver 2FA. Aí acho que fica mais razoável cobrar que houvesse uma resposta por parte da empresa.

3 Likes

Queria trazer um update aqui. Um ponto importante do que foi descrito na postagem era o sistema de reconhecimento facial para a autorização de transações a partir de um novo dispositivo. Esse sistema pode não ser burlável simplesmente a partir de uma foto qualquer, por exemplo, quando é necessário sorrir ou mexer a cabeça. Porém, aparentemente, já existem indícios de que esses sistemas são vulneráveis a deepfakes criadas a partir de uma foto da própria identidade.

1 Like