Eu acho que essa foi a solução que o Nubank encontrou considerando custo-benefício. Deve ser barato e efetivo na prática, com pequena margem de erro. Só não queria ser eu nessa margem de erro hehehe

São duas propostas válidas. E, sinceramente, o que vier é lucro, pois hoje o negócio tá triste, ao meu ver. Gosto da ideia da chave de segurança física porque hoje é o que tem de mais avançado em segurança, daria até uma boa campanha de marketing da empresa, mostrando que se preocupa com privacidade e tal.

Se isso fosse feito resolveria o problema, com certeza. Mas será que essa é a melhor opção? Teoricamente, a senha de 4 dígitos só aparece se você tiver acesso ao aplicativo, se não me engano com dispositivo autorizado, e também à senha da conta. Uma pessoa com acesso a isso tudo deveria poder fazer qualquer coisa, afinal não existe nível de confiança maior do que isso. O problema é que o Nubank permite o acesso a isso tudo através de uma vulnerabilidade no processo de troca de email.

Essa senha já deve ser criptografada sim, não imagino o Nubank mantendo essa senha em plain text nos servidores não. Imagino que você esteja se referindo a um hash da senha?

Existem formas de criptografar que nem mesmo o Nubank teha acesso à senha, protegendo os usuário em caso de vazamento. É possível gerar a senha localmente e enviar aos servidores da Nu apenas o hash (o suficiente para validar acessos). Assim em caso de perda da senha pelo usuário a única solução é gerar uma nova.

EDIT: Claro que esse solução geraria um custo maior de reemissão e talvez insatisfação de clientes que simplesmente esqueceram a senha

Esse jeito se chama hash, criptografia, independente de qual, é reversível, hashing não é. Havia comentado mais pra cima que achava que a senha passava por hash

Tanto a criptografia como o hashing protegem a informação em caso de vazamento, se alguém conseguir acessar o banco de dados deles, encontrará um texto “aleatório e sem sentido”, mesmo que tentem descifrar, não conseguiriam ou levariam séculos para conseguir

A partir daqui está meio confuso, o problema não é o Nubank ter acesso a conta, todas as plataformas tem acesso as suas senhas, parte da sua segurança está na confiança que tu tem nas plataformas que usa

Sequer é possível fazer o hash no dispositivo cliente e enviar apenas o resultado pro Nubank, como seria validado a informação enviada pelas máquinas de cartão ou caixas eletrônicos? Eles teriam que fazer o hash da senha também? Mas nem é possível. Nesse assunto tem outras questões que fazem parte do processo de hash e criptografia, salt, chave privada ou par de chave pública e privada, isso tudo é com o servidor

Voce tem razão, fui infeliz deixando falando criptografaia e hashing na mesma frase. Mas como voce disse: hashing não é reversível, se o app consegue retornar o valor da senha então ela está sendo decrepitada por alguma função. No caso do hash eles so teriam o valor dele na base e uma função que gera o hash a cada entrada da senha e compararia os dois, não precisando deixar ela gravada em lugar nenhum.
Meu conhecimento nessa área é bastante limitado, me corrija ai se falei besteira de novo

Boa noite pessoal! Preocupante esses relatos, hem?

A única forma de 2FA que o Nubank oferece é por e-mail e ele ainda pode ser trocado dentro de um procedimento que o usuário não tem controle. Não me parece prudente.

No contexto em que vivemos, onde há exposições constantes de dados privados (lembrando aqui o mega vazamento do Serasa, entre outros casos recentes). Fica evidente que não se pode confiar uma recuperação de conta bastando informar o CPF e uma selfie com um documento de identificação (vide aí novas possibilidades utilizando deep fake).

Entendo que exista o desafio do negócio: como lidar com milhares de usuários que precisam recuperar a conta com o menor ônus possível e de forma rápida. Por um processo manual de revisão das fotos com selfie, a pessoa pode simplesmente cansar da fila de revisão e ir aprovando tudo sem muita diligência. Em um processo automatizado há o risco de falha com falsos positivos.

Em uma das postagens vi a ótima sugestão de realmente fazer valer os 2 dias úteis para a revisão do pedido (e não dentro de 7 horas, como em alguns relatos), dando assim tempo do usuário poder informar ao Nubank essa solicitação indevida.

Mas vou além: por que não implementar opcionalmente para os usuários que assim desejarem um token de autenticação (Google Authenticator/Authy/etc.)?

Uma forma mais rápida ainda para proteger a conta dos usuários, seria disponibilizar uma opção para “impedir troca de e-mail”. Nela, poderia existir um disclaimer que a recuperação de conta poderia ficar prejudicada, podendo demorar até x dias úteis.

Bem lembrado também, em uma das postagens acima, sobre a recuperação de conta do NuInvest via SMS + CPF (ou e-mail). Já é sabido que não devemos utilizar o número de celular para recuperação de contas por causa do SIM swap - ou clonagem de chip. Nesse caso seria interessante esse tipo de recuperação poder ser desabilitado pelo usuário.

Sabendo que o método do envio de selfie também é utilizado para abertura de conta, isso abre portas para um outra possibilidade de fraude: a de criação de contas com CPFs roubados. E esse problema não se restringe apenas ao Nubank, tendo em vista que diversos outros aplicativos/empresas têm utilizado técnica similar para validar a identidade de um indivíduo. Imagine só descobrir que você está devendo um empréstimo em um banco que você nem sequer tinha feito a abertura de conta? Por isso minha recomendação é olhar o Registrato (BACEN) pelo menos uma vez por mês.

Boa tarde, @bluewizard. São ótimas as suas considerações, muito obrigado.

Apenas alguns pontos:

• Se não me engano, não foi demonstrado que o megavazamento foi do Serasa.
• Até onde me lembro, por mais que a senha da NuInvest possa ser trocada por SMS, a assinatura eletrônica só pode ser modificada por e-mail. E na NuInvest não há essa falha do fluxo de troca de e-mail que nem no Nubank, até onde conheço.

Olá @lucasresck

• Se não me engano, não foi demonstrado que o megavazamento foi do Serasa.

A referência ao caso foi meramente ilustrativa, dado que é a forma como midiaticamente ele ficou conhecido. Não houve da minha parte intenção de inputar culpabilidade de forma alguma.

• Até onde me lembro, por mais que a senha da NuInvest possa ser trocada por SMS, a assinatura eletrônica só pode ser modificada por e-mail. E na NuInvest não há essa falha do fluxo de troca de e-mail que nem no Nubank, até onde conheço

Confesso que eu não havia testado todas as possibilidades de recuperação de conta da NuInvest ao escrever o post. Após a sua resposta fui apurar melhor, mas também não fiquei muito feliz. Explico:

Fluxo 1 - Entrada de CPF + Esqueci minha senha

nuinvest-recuperacao-senha628×1280 73.1 KB

Fluxo 2 - Entrada de senha correta + "Não reconheço este e-mail"

nuinvest-esqueci-email628×1280 43.5 KB

Vamos agora aqui especular um possível cenário de ataque direcionado, onde o atacante possui os dados do alvo (situação que, acredite, é comum - já aconteceu comigo no fim do ano passado e no início deste ano em dois tipos diferentes de golpe).

No fluxo 1 (recuperação de senha) podemos notar que existem duas possibilidades claras de ataque que podem ser exploradas:

1. Recuperação de senha via SMS (SIM swap), ou;
2. Por meio do contato telefônico e/ou email e fazendo uso da engenharia social, o atacante poderia convencer que houve troca de número telefônico e/ou e-mail (criando para isso um e-mail com seu nome/sobrenome para dar algum tipo de confiabilidade). O atacante, havendo posse dos dados pessoais, conseguiria responder facilmente a maior parte dos questionamentos. Exemplo: “Qual o nome da sua mãe/pai?”, “Qual é a sua data de nascimento?”. A maior parte das informações que comumente vejo em fluxos de atendimento giram em torno justamente dos dados que foram alvos de vazamento e que sabemos que já são “virtualmente” públicos.

No fluxo 2, é a situação onde é necessário validar o EasyToken. Existe uma opção em que você pode dizer que não reconhece o e-mail cadastrado. Nela o aplicativo prontamente fornece um telefone de contato para que você possa tentar recuperar/liberar o acesso. Note que esse formato de recuperação sofre do mesmo problema do item 2 do fluxo 1 citado acima.

Enfim, na prática a recuperação de fato acaba caindo para um fluxo de suporte em que desconhecemos os protocolos de segurança adotados. Nesse caso também é nítido o ganho de segurança que teríamos se fosse implementado um segundo fator de autenticação em que o usuário também é corresponsável pela segurança (seja na utilização do token OTP e guarda dos códigos de recuperação).

Seria interessante termos o conhecimento de como funciona o fluxo de suporte da NuInvest, nesses casos específicos e em geral. Só assim poderíamos garantir pelo menos uma confiabilidade mínima.

Não li toda a discussão, nem pretendo, porem darei aqui minhas sugestões.

1° (cartões com CVV dinâmico) Para trocar dados seria necessário sua senha e a CVV do seu cartão.

2° Algoritmo de proteção baseada em heurística de uso. (Forma de segurar o telefone, força que você normalmente pressiona o touch, qual dedo e qual mão você usa o telefone, você navega tocando por qual parte da tela etc…)
Em especifico, a 2 levantaria questões de privacidade.

Tenho outras ideias, mas no quesito privacidade uma é pior que a outra.

A senha e o CVV pra troca de senha seria uma boa opção, mas e se o usuário não lembra da senha ou não pediu o cartão ainda (o que pode acontecer se ele “cancelou” a conta logo depois de criar porque não gostou e, depois de um tempo, quiser voltar a usar)? Então não poderia ser usado em todos os casos

A segunda não é muito viável, além de complexa e falha. Comumente você usa o celular com o polegar e segurando com sua mão predominante, mas, se você está, por exemplo, tomando café e quer aproveitar o tempo pra fazer algo no Nubank, você usa o celular que deixou em cima da mesa com sua mão não predominante, isso causaria padrões muito abrangentes

Mas poderia utilizar a localização do GPS ou IP como um meio de validação, também não é 100% garantido, mas é meio válido e simples, acredito que já foi mencionado essa opção aqui

Por IP não funciona pois a maioria dos dispositivos hoje não tem mais IP estático.

O IP ser fixo ou definido por DHCP interfere na localização, mas, em geral, não é um problema. De qualquer forma, ele não é uma ferramenta precisa, o ideal seria usar o GPS

Agora meu medo de invadirem minha conta aumentou. Gostaria que tivesse verificação de duas etapas usando códigos de backup, igual o Google faz.

Complementando, deem uma olhada nesse tópico

Um pouco frustrante (não tão surpreendente), ainda não recebemos uma resposta decente em relação a esse problema, quase três meses depois. Além da Comunidade, tentei o atendimento e a ouvidoria… e nada.

Eu acredito que é justo como cliente exigir uma resposta sobre isso.

Porém, não existe evidência de que essa suposta vulnerabilidade está sendo explorada sistematicamente – o Nubank tem 54 milhões de clientes. Eu já tinha levantado esse tema aqui na comunidade muitas vezes e muito antes deste tópico existir, mas sempre como um exercício/discusssão. Não acredito que seja possível afirmar, com responsabilidade, que o caso de conta invadida que foi reportado aqui na comunidade tenha de fato relação com essa suposta vulnerabilidade.

A autenticação em duas etapas deveria estar disponível em todos os sites e sistemas. Mas o mero fato de não existir opção de 2FA não indica uma vulnerabilidade.

Mandei um e-mail para o suporte, aguardo uma resposta.

Façam o mesmo, quanto mais gente melhor.

e-mail: meajuda@nubank.com.br

A suposta vulnerabilidade a que me refiro é a invasão de contas pela troca de e-mail, não o fato de não haver 2FA. Aí acho que fica mais razoável cobrar que houvesse uma resposta por parte da empresa.

Queria trazer um update aqui. Um ponto importante do que foi descrito na postagem era o sistema de reconhecimento facial para a autorização de transações a partir de um novo dispositivo. Esse sistema pode não ser burlável simplesmente a partir de uma foto qualquer, por exemplo, quando é necessário sorrir ou mexer a cabeça. Porém, aparentemente, já existem indícios de que esses sistemas são vulneráveis a deepfakes criadas a partir de uma foto da própria identidade.