Troca da senha de 4 dígitos não impede a conta de ser hackeada, se isso realmente protegesse não seria necessário criar outros métodos de segurança.
Quando o cartão é clonado as compras são estornadas, caso o estabelecimento não comprove que foi o titular que efetuou o pagamento.
O Nubank, assim como outras instituições, armazenam logs sobre tudo que ocorre no acesso à conta de clientes, assim é possível detectar fraudes pela localização do GPS, IP, modelo do dispositivo, alteração de e-mail e etc, casos como de Imperatriz/MA foram um exemplo de como encontraram os meliantes, e somente através da engenharia social eles obtiveram os dados necessários para acesso à conta, sem precisar encontrar alguma falha de segurança;
Em Maio foi publicado no Blog do Nubank mais sobre a segurança do app: