Fuçando aqui no aplicativo, descobri que, após recusar algumas vezes o acesso ao aplicativo usando a senha do celular ou a biometria, o Nubank permite o login com a senha da conta (versão 7.86.2).
Apesar do aplicativo não permitir o reset de senha a partir dessa tela (segunda imagem), ainda assim seria possível resetar a senha, por exemplo, pelo site do banco e, enfim, utilizar a senha para o login.
Realizando alguns testes, verifiquei que dessa forma é possível também burlar o uso da biometria ou da senha do celular depois de reinstalar o aplicativo do Nubank; ou seja, o problema das contas invadidas a partir de celulares roubados desbloqueados continua, só faltou autorizar o dispositivo.
Lembremos que, aparentemente, o acesso ao aplicativo do Nubank sem autenticação do smartphone havia sido corrigido:
No entanto, não é mais possível acessar o aplicativo do banco digital se houver alguma senha ativada no celular roubado. Atualmente, mesmo reinstalando o app ou limpando seus dados, a impressão digital, reconhecimento facial ou senha do celular é solicitada para fazer login no aplicativo do Nubank.
Desinstalação ou apagar os dados do app. Remove a autorização do smartphone.
Achei bem interessante essa novidade de poder entrar usando a senha de acesso. Mas preferia que usasse a senha de acesso logo de início, ao invés da senha de desbloqueio do smartphone.
Poderia ser que nem outros bancos por exemplo: a biometria + senha de acesso.
Qualquer pessoa que souber a senha de desbloqueio, desenho ou pin poderá abrir o Nubank.
Não, amigo, essa situação de não exigir a autenticação do smartphone foi o grande problema que o Nubank teve que lidar há algumas semanas. O problema de se confiar apenas na senha da conta é que ela é resetável por email.
Imagine a seguinte situação: roubo de celular com a tela desbloqueada. Agora imagine que o bandido resete a senha da conta do Nubank usando o email logado no próprio celular, acesse o aplicativo com essa senha e verifique a senha de quatro dígitos. Agora ele consegue transferir todo seu dinheiro.
Eles deixam a opção de resetar sem ter a conta logada, esse é o problema. Tem outros bancos que não dão essa opção na tela de login e você tem que digitar uma senha de 8 dígitos ou por a biometria.
Quando eu tinha conta nessas bancos eu anotava a senha de acesso no papel e guardava pra não esquecer. É possível remover o desbloqueio de tela do celular com ele bloqueado, existe tutorial na internet. Se o cara remove a senha de desbloqueio e depois trocar, aí ferrou.
Se for conta Google é possível deslogar sua conta pelo PC. Não é grande coisa mais ajuda, ainda mais se tiver verificação em duas etapas (com o SMS desativado).
Praticamente qualquer app hoje em dia oferece o reset de senha via e-mail. Qual seria a sua sugestão? Pois, lembremos que o Nubank é utilizado por todo tipo de idade e qualquer etapa muito burocrática será um problema grande pra muita gente.
Minha sugestão é utilizar apps de e-mail que oferecem proteção ao abrir o aplicativo e não usar os padrões que não oferecem a senha para o acesso (gmail ou mail da apple). Alguns dos que recomendo: Outlook, Spark, Yahoo…
Boa sugestão. Ou também pode deixar o email cadastrado no Nubank deslogado do celular.
Se precisar do código de acesso. Basta abrir o modo anônimo no navegador, logar na conta e pegar o código. A desvantagem é ter que percorrer todo esse caminho para entrar no Nubank caso faça a reinstalação do aplicativo ou apague os dados do app.
Mas, seu email não ficará logado no smartphone, caso seja furtado, o meliante não terá acesso ao reset da senha.
Tem uma falha de segurança aí, tem como mudar a senha pelo “site” e entrar no app com a senha do “nubank” tem que tirar essa função de logar pela senha do nubank e tirar opção de esqueceu senha pelo site.
Não usar a senha da conta resetada pra login em um aparelho autorizado, como, salve engano, o Nubank já fazia.
Então, cara, mas aí você deixa pro usuário ter que se precaver em relação a um possível incidente de segurança. “Ah, mas e se acessarem meu email? Vou colocar um bloqueio só pro aplicativo de email.” “Ah, mas e se acessarem o email logado no navegador? Vou deslogar o email do navegador também.” “Ah, mas e se tentarem resetar a senha do meu email usando o telefone? Vou ter que, sei lá, remover o celular como um fator de segurança da conta de email.” "Aí você fica em um processo iterativo de solução de gaps de segurança que poderiam, a princípio, ser todos resolvidos na raiz através do uso obrigatório do bloqueio de tela, considerando que bandido só quer saber de Nubank, BB e WhatsApp no seu celular.
Ficar resolvendo esses pontos soltos porque um app de banco permite resetar a senha por email e depois fazer login é essencialmente uma gambiarra: é não definitivo, não sistemático, difícil de decorar e não escalável.
Esse aqui é um que funciona. Já consegui desbloquear um smartphone de um colega que esqueceu a senha e não queria formatar ainda por falta de tempo para configurar e instalar apps.
Em todos as dicas aqui já consideramos que o usuário use um bloqueio de tela. Mas geralmente usam um fácil como o “padrão” (aquele desenho que você faz) ou PIN numérico. Poucos usam a senha alfanumérica.
Aqui estamos falando de camada extras de segurança para acesso a conta. Se acessar a conta pelo modo anônimo por exemplo, assim que fechar o app do navegador já apaga os dados da janela anônima. Ou dar um jeito de bloquear o acesso ao app gmail, pra evitar que o meliante acesse o link para alterar a senha. Basta o meliante saber seu CPF para ter acesso a solicitação do reset da senha. Esse documento é muito importante e está até inserido na indentidade por exemplo e pode ser facilmente encontrado na hora do furto ou assalto.
Nos dispositivos antigos pode funcionar. Hoje em dia não é mais possível fazer isso nas versões do Android mais novas. Inclusive os dados armazenados no dispositivo são criptografados.
Tem certeza que após o reset de senha o dispositivo continua confiável? Imagino que o usuário será – ou deveria ser – obrigado a autorizar novamente o dispositivo.
Por aqui eu não deixo logado o email cadastrado da conta no celular. Isso já inviabiliza os golpes.
Quando você usa a senha resetada ao invés do bloqueio de tela, o aplicativo desloga, mas o dispositivo não é desautorizado. Fiz um teste aqui agora resetando a senha por email e pulando o bloqueio de tela com a senha da conta e consegui acessar a senha de 4 dígitos e fazer um PIX de baixo valor. Testa aí, é chocante…
Em um dos meus testes ontem aconteceu a desautorização que você comentou, mas isso não é garantido de acontecer sempre.
Uma novidade legal é que recentemente o Nubank passou a exigir reconhecimento facial para visualizar a senha de quatro dígitos:
Mesmo que o aparelho esteja autorizado. Portanto, em uma situação em que o criminoso consegue autorizar o dispositivo utilizando engenharia social no chat, por exemplo, ainda seria necessário o reconhecimento facial pra visualizar a senha de quatro dígitos.