Bom dia, comunidade!
Entendo que já existem diversos tópicos sobre o assunto, mas a questão é: a nossa NuConta continua vulnerável ao golpe da troca de e-mail sem interferência do usuário.
Para entender melhor esse golpe, sugiro a leitura da thread criada pelo usuário @lucasresck:
Enfim, finalmente encontrei um tempo para relatar o que vivenciei na última 6ª feira, dia 04/11/22.
Uma pessoa próxima do meu círculo social (coloco dessa forma por questões de privacidade), me reportou por whatsapp, durante a tarde, que havia recebido um e-mail do nubank que o e-mail da sua conta havia sido alterado.
A partir disso podemos deduzir algumas coisas:
- O golpista enganou o mecanismo de verificação de identidade do banco (utilizando, talvez, uma foto forjada ou uma foto real de algum serviço alheio - seja por vazamento de dados ou por utilização indevida/venda de informações por funcionários mal intencionados), e;
- Como houve a troca do e-mail, o golpista efetivamente pode ter tido acesso à visualização das economias e investimentos armazenados na nubank/nuinvest.
Tão logo a notificação por e-mail foi recebida, a pessoa entrou em contato com o banco para evitar que a fraude continuasse.
Contudo, acho importante ressaltar o fato de que as informações financeiras de uma pessoa são privadas. No artigo 52, § 7º da LGPD, consta:
Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo. (Incluído pela Lei nº 13.853, de 2019) Vigência
Cabe lembrar que o responsável pela guarda dessas informações, no caso o nubank, deve informar o titular da conta sobre qualquer acesso indevido (contendo todas as informações porventura acessadas indevidamente).
E pra quem achou que essa história acabava por aqui, está enganado. Logo após isso ter ocorrido, eu fui surpreendido por e-mails da nubank me avisando sobre tentativas de trocas de senha.
Imediatamente entrei em contato com o suporte da nubank, que me informou:
- Houve tentativa de troca de e-mail, o que supostamente foi barrado por uma ferramenta automatizada.
- Sugeriu eu trocar o e-mail/senha (o que, sinceramente, não acho que faz muito sentido, dado que o golpe utiliza outros meios para fazer o account takeover).
O que eu acredito que tenha acontecido:
- Golpista tentou trocar o meu e-mail, enviando foto forjada ou real (vazada/comprada/etc.) minha.
- Como nesse período de análise de identidade ele fica “no escuro”, logo disparou diversas tentativas para troca de senha (esperando que chegasse no e-mail que ele informou).
- Como não houve troca efetiva de e-mail, ele possivelmente não conseguiu nenhum acesso à conta.
Não bastassem os relatos que surgem aqui na comunidade e também nas redes sociais, foi a minha vez de experimentar de forma muito próxima esse problema de segurança que o nubank vive.
Entendo que eles precisam equilibrar custo x facilidade para poder atender o maior número de pessoas de forma remota, porém isso acaba abrindo brechas de segurança inaceitáveis.
Uma possibilidade real que eles poderiam implementar seria o 2FA baseado em token (Google auth, Authy, etc.) para todo acesso e também para qualquer operação sensível (ex: troca de e-mail). O segundo fator por foto é frágil, tendo em vista que, durante a pandemia da covid-19, inúmeros serviços começaram a utilizar o mesmo mecanismo para validar uma identidade - o que amplia as possibilidades de vazamento de informações.
Entendo que isso poderia acarretar em dores de cabeça no atendimento (maior custo), porém essa opção estaria desligada por padrão. Além disso, para ativá-la o usuário poderia ser alertado inúmeras vezes que, caso ele perca o acesso ao token - e aos códigos de backup -, a recuperação de conta demorará bastante (nesse caso o nubank determinaria o número de dias úteis viáveis para eles atenderem/analisarem a situação).
Achei importante relatar para que possamos ter mais segurança com o roxinho, especialmente agora que ele está integrando funções da NuInvest!
Recentemente tivemos a chegada do “Modo Rua”, que considero uma vitória da nossa comunidade. Torço muito (e espero que os demais clientes também cobrem!) por uma solução para esse problema de roubo de conta (e acesso indevido a informações privadas) sem a intervenção do usuário.
Ps: o curioso é que o “modo rua” também pode ser desligado pelo envio de uma selfie…