Voce tem razão, fui infeliz deixando falando criptografaia e hashing na mesma frase. Mas como voce disse: hashing não é reversível, se o app consegue retornar o valor da senha então ela está sendo decrepitada por alguma função. No caso do hash eles so teriam o valor dele na base e uma função que gera o hash a cada entrada da senha e compararia os dois, não precisando deixar ela gravada em lugar nenhum.
Meu conhecimento nessa área é bastante limitado, me corrija ai se falei besteira de novo
Boa noite pessoal! Preocupante esses relatos, hem?
A única forma de 2FA que o Nubank oferece é por e-mail e ele ainda pode ser trocado dentro de um procedimento que o usuário não tem controle. Não me parece prudente.
No contexto em que vivemos, onde há exposições constantes de dados privados (lembrando aqui o mega vazamento do Serasa, entre outros casos recentes). Fica evidente que não se pode confiar uma recuperação de conta bastando informar o CPF e uma selfie com um documento de identificação (vide aí novas possibilidades utilizando deep fake).
Entendo que exista o desafio do negócio: como lidar com milhares de usuários que precisam recuperar a conta com o menor ônus possível e de forma rápida. Por um processo manual de revisão das fotos com selfie, a pessoa pode simplesmente cansar da fila de revisão e ir aprovando tudo sem muita diligência. Em um processo automatizado há o risco de falha com falsos positivos.
Em uma das postagens vi a ótima sugestão de realmente fazer valer os 2 dias úteis para a revisão do pedido (e não dentro de 7 horas, como em alguns relatos), dando assim tempo do usuário poder informar ao Nubank essa solicitação indevida.
Mas vou além: por que não implementar opcionalmente para os usuários que assim desejarem um token de autenticação (Google Authenticator/Authy/etc.)?
Uma forma mais rápida ainda para proteger a conta dos usuários, seria disponibilizar uma opção para “impedir troca de e-mail”. Nela, poderia existir um disclaimer que a recuperação de conta poderia ficar prejudicada, podendo demorar até x dias úteis.
Bem lembrado também, em uma das postagens acima, sobre a recuperação de conta do NuInvest via SMS + CPF (ou e-mail). Já é sabido que não devemos utilizar o número de celular para recuperação de contas por causa do SIM swap - ou clonagem de chip. Nesse caso seria interessante esse tipo de recuperação poder ser desabilitado pelo usuário.
Sabendo que o método do envio de selfie também é utilizado para abertura de conta, isso abre portas para um outra possibilidade de fraude: a de criação de contas com CPFs roubados. E esse problema não se restringe apenas ao Nubank, tendo em vista que diversos outros aplicativos/empresas têm utilizado técnica similar para validar a identidade de um indivíduo. Imagine só descobrir que você está devendo um empréstimo em um banco que você nem sequer tinha feito a abertura de conta? Por isso minha recomendação é olhar o Registrato (BACEN) pelo menos uma vez por mês.
2 curtidas
Boa tarde, @bluewizard. São ótimas as suas considerações, muito obrigado.
Apenas alguns pontos:
- Se não me engano, não foi demonstrado que o megavazamento foi do Serasa.
- Até onde me lembro, por mais que a senha da NuInvest possa ser trocada por SMS, a assinatura eletrônica só pode ser modificada por e-mail. E na NuInvest não há essa falha do fluxo de troca de e-mail que nem no Nubank, até onde conheço.
1 curtida
Olá @lucasresck
- Se não me engano, não foi demonstrado que o megavazamento foi do Serasa.
A referência ao caso foi meramente ilustrativa, dado que é a forma como midiaticamente ele ficou conhecido. Não houve da minha parte intenção de inputar culpabilidade de forma alguma.
- Até onde me lembro, por mais que a senha da NuInvest possa ser trocada por SMS, a assinatura eletrônica só pode ser modificada por e-mail. E na NuInvest não há essa falha do fluxo de troca de e-mail que nem no Nubank, até onde conheço
Confesso que eu não havia testado todas as possibilidades de recuperação de conta da NuInvest ao escrever o post. Após a sua resposta fui apurar melhor, mas também não fiquei muito feliz. Explico:
Fluxo 1 - Entrada de CPF + Esqueci minha senha
Fluxo 2 - Entrada de senha correta + “Não reconheço este e-mail”
Vamos agora aqui especular um possível cenário de ataque direcionado, onde o atacante possui os dados do alvo (situação que, acredite, é comum - já aconteceu comigo no fim do ano passado e no início deste ano em dois tipos diferentes de golpe).
No fluxo 1 (recuperação de senha) podemos notar que existem duas possibilidades claras de ataque que podem ser exploradas:
- Recuperação de senha via SMS (SIM swap), ou;
- Por meio do contato telefônico e/ou email e fazendo uso da engenharia social, o atacante poderia convencer que houve troca de número telefônico e/ou e-mail (criando para isso um e-mail com seu nome/sobrenome para dar algum tipo de confiabilidade). O atacante, havendo posse dos dados pessoais, conseguiria responder facilmente a maior parte dos questionamentos. Exemplo: “Qual o nome da sua mãe/pai?”, “Qual é a sua data de nascimento?”. A maior parte das informações que comumente vejo em fluxos de atendimento giram em torno justamente dos dados que foram alvos de vazamento e que sabemos que já são “virtualmente” públicos.
No fluxo 2, é a situação onde é necessário validar o EasyToken. Existe uma opção em que você pode dizer que não reconhece o e-mail cadastrado. Nela o aplicativo prontamente fornece um telefone de contato para que você possa tentar recuperar/liberar o acesso. Note que esse formato de recuperação sofre do mesmo problema do item 2 do fluxo 1 citado acima.
Enfim, na prática a recuperação de fato acaba caindo para um fluxo de suporte em que desconhecemos os protocolos de segurança adotados. Nesse caso também é nítido o ganho de segurança que teríamos se fosse implementado um segundo fator de autenticação em que o usuário também é corresponsável pela segurança (seja na utilização do token OTP e guarda dos códigos de recuperação).
1 curtida
Seria interessante termos o conhecimento de como funciona o fluxo de suporte da NuInvest, nesses casos específicos e em geral. Só assim poderíamos garantir pelo menos uma confiabilidade mínima.
2 curtidas
Não li toda a discussão, nem pretendo, porem darei aqui minhas sugestões.
1° (cartões com CVV dinâmico) Para trocar dados seria necessário sua senha e a CVV do seu cartão.
2° Algoritmo de proteção baseada em heurística de uso. (Forma de segurar o telefone, força que você normalmente pressiona o touch, qual dedo e qual mão você usa o telefone, você navega tocando por qual parte da tela etc…)
Em especifico, a 2 levantaria questões de privacidade.
Tenho outras ideias, mas no quesito privacidade uma é pior que a outra.
A senha e o CVV pra troca de senha seria uma boa opção, mas e se o usuário não lembra da senha ou não pediu o cartão ainda (o que pode acontecer se ele “cancelou” a conta logo depois de criar porque não gostou e, depois de um tempo, quiser voltar a usar)? Então não poderia ser usado em todos os casos
A segunda não é muito viável, além de complexa e falha. Comumente você usa o celular com o polegar e segurando com sua mão predominante, mas, se você está, por exemplo, tomando café e quer aproveitar o tempo pra fazer algo no Nubank, você usa o celular que deixou em cima da mesa com sua mão não predominante, isso causaria padrões muito abrangentes
Mas poderia utilizar a localização do GPS ou IP como um meio de validação, também não é 100% garantido, mas é meio válido e simples, acredito que já foi mencionado essa opção aqui
1 curtida
Por IP não funciona pois a maioria dos dispositivos hoje não tem mais IP estático.
1 curtida
O IP ser fixo ou definido por DHCP interfere na localização, mas, em geral, não é um problema. De qualquer forma, ele não é uma ferramenta precisa, o ideal seria usar o GPS
Agora meu medo de invadirem minha conta aumentou. Gostaria que tivesse verificação de duas etapas usando códigos de backup, igual o Google faz.
5 curtidas
Complementando, deem uma olhada nesse tópico
3 curtidas
Um pouco frustrante (não tão surpreendente), ainda não recebemos uma resposta decente em relação a esse problema, quase três meses depois. Além da Comunidade, tentei o atendimento e a ouvidoria… e nada.
3 curtidas
Eu acredito que é justo como cliente exigir uma resposta sobre isso.
Porém, não existe evidência de que essa suposta vulnerabilidade está sendo explorada sistematicamente – o Nubank tem 54 milhões de clientes. Eu já tinha levantado esse tema aqui na comunidade muitas vezes e muito antes deste tópico existir, mas sempre como um exercício/discusssão. Não acredito que seja possível afirmar, com responsabilidade, que o caso de conta invadida que foi reportado aqui na comunidade tenha de fato relação com essa suposta vulnerabilidade.
A autenticação em duas etapas deveria estar disponível em todos os sites e sistemas. Mas o mero fato de não existir opção de 2FA não indica uma vulnerabilidade.
5 curtidas
Mandei um e-mail para o suporte, aguardo uma resposta.
Façam o mesmo, quanto mais gente melhor.
e-mail: meajuda@nubank.com.br
A suposta vulnerabilidade a que me refiro é a invasão de contas pela troca de e-mail, não o fato de não haver 2FA. Aí acho que fica mais razoável cobrar que houvesse uma resposta por parte da empresa.
3 curtidas
Queria trazer um update aqui. Um ponto importante do que foi descrito na postagem era o sistema de reconhecimento facial para a autorização de transações a partir de um novo dispositivo. Esse sistema pode não ser burlável simplesmente a partir de uma foto qualquer, por exemplo, quando é necessário sorrir ou mexer a cabeça. Porém, aparentemente, já existem indícios de que esses sistemas são vulneráveis a deepfakes criadas a partir de uma foto da própria identidade.
2 curtidas
Hoje tive minhas contas fraudadas (PF e PJ), com uma foto minha segurando um documento (que vazou de algum banco de dados de alguma instituição), conseguiram trocar o e-mail e a senha da Nuconta.
Perdi todo o acesso, deslogaram meu aparelho e fiquei muito assustada.
O vazamento de fotos é algo gravíssimo, se vazaram a minha, de milhares de pessoas devem ter vazado também…fiquem atentos a todas as contas digitais de vocês.
Minha conta tinha todas as camadas de segurança disponibilizadas pelo nubank, mas com a foto trocaram o e-mail, depois a senha e pronto, as senhas resolveram de nada.
Com a ajuda do 0800 consegui recuperar, mas para a pessoa pegar o acesso novamente, é só seguir os passos que ela faz anteriormente…
3 curtidas
Sinto muito por você ter passado por isso. Pelo que entendi pelo menos não houve perda financeira, correto?
Sugiro que você formalize essa reclamação na ouvidoria ou no Banco Central, exigindo algum tipo de esclarecimento ou investigação. Acredito que a empresa só vá agir se houver incentivo.
3 curtidas
Essa foto que usaram, fica numa lista reportada no Nubank, não vão conseguir usar mais, somente com outra foto.
Como a gente sempre alerta, acompanhe os e-mail’s do Nubank, tudo que acontece na conta a gente recebe por lá, assim da pra bloquear até que acontecer alguma coisa.
2 curtidas
Cara, pior que nessa situação o Nubank não avisa nada sobre a tentativa de troca do email de cadastro, apenas quando a troca do email já aconteceu (salvo caso tenham feito alguma atualização desde janeiro):
4 curtidas