O app do Nubank tem uma grande brecha de segurança. Suponha que você é assaltado e o ladrão te obriga passar a senha de desbloqueio do seu celular, o que não é incomum. No caso do iOS, ao abrir o app é solicitado o FaceId mas se ele não for reconhecido o iOS vai pedir o PIN do iPhone, e no caso o ladrão tem o pin em mãos pois te obrigou a passar.
O ladrão vai simplesmente em “Perfil/Meus dados” e troca o e-mail para o dele. Então ele sai do aplicativo, e tenta logar novamente. Se ele estiver com sua carteira, vai saber seu CPF, e vai por esqueci a senha. Ele vai receber o link pra redefinir senha no e-mail dele. Então ele troca a senha, e pode revelar seu PIN do Nubank, e fazer o limpa na conta.
O correto seria solicitar a senha alfanumerica atual do Nubank atual antes de efetuar a troca do e-mail. Isso já dificulta muito a ação criminosa.
Num assalto pode ser o que o bandido não tenha tempo de pedir a senha alfa-numerica do Nubank, e nesse caso você está seguro pois ele não vai conseguir trocar o e-mail.
Com certeza num sequestro ele vai fazer você digitar qualquer senha, mas num evento de assalto em lugar aberto, ele não terá muito tempo pra pedir todas essas senhas. É uma proteção a mais…
O procedimento de esqueci a senha também é falho, pois se o ladrão tá com meu celular, ele acessa meu app de e-mail e troca. Mas nesse caso, eu troquei meu e-mail do nubank pra um que não tem no meu celular, mas com a falha acima, não adianta muito eu ter esse outro e-mail.
Essas trocas de senhas e e-mail são muito sérias, não é algo que as pessoas fazem com frequência, e deveria ser um processo auditável por humanos.
Nunca tinha pensado sobre isso, estão decide fazer o passo a passo que você falou, realmente é um perigo.
1° Utilizei 2 celulares com redes diferente
Oba: nunca utilizado o App Nubank
Pensado que o celular foi roubado e o bandido sabe minha senha.
2° Ele consegue altera o meu e-mail sem verificação.
3° Instalei no outro celular e bastou colocar esqueci-me minha senha, é pá a senha na mão.
Agora ele tem o cartão de crédito em mão, e débito só se o dinheiro tiver na parte de não guardado.
Porém o ele não vai conseguir fazer transferência para outra conta, porque o App solicitar reconhecimento facial, tentei fazer por uma foto minha mas não foi possível.
Mas o bandido vai fazer a transação no meu celular, não no dele. O dele só vai usar pra receber o llink de trocar a senha e trocar. Meu dispositivo já está autorizado. Ele nem precisa sair pra trocar a senha, pode fazer por um computador… tá certo que tem as variantes de tempo etc…mas não pedir a senha atual pra trocar o e-mail é uma falha grotesca ao meu ver.
Estou considerando parar de usar o Nubank, e ir pro concorrente. Lá pelo menos ele envia dois token pra trocar senha, um no celular e outro no e-mail, ai usando a técnica do e-mail secundário deslogado já ferra o bandido, além de pedir o reconhecimento facial, embora eu não confio nesses reconhecimentos faciais. Já no concorrente, eu desabilitei o face id no login pra entrar com a senha, pois não pede nenhum PIN pra efetivar uma transação.
Já comentei em outro tópico e cada vez que leio esse tipo de preocupação , eu acho que uma Assinatura Eletrônica igual a Caixa usa é melhor que essas soluções que os bancos em geral tem.
Assinatura eletrônica ou token, autenticação por dois fatores, pedir a senha para realizar alterações cadastrais… Tá faltando uma camada de segurança a mais. De fato a troca do email tá muito fácil para um banco
Uma solução que o usuário pode adotar por hora seria, usar 2 usuários no celular.
1° usuário seria para bancos, coisa que o bandido pode roubar.
2° usurário com as outras informações.
Quanto o IOS e ANDROID você consegue ter 2 usuários diferente.
Mas como funciona? Da seguinte forma como se fosse 2 aparelho diferente, porém é o mesmo aparelho, exemplo
O primeiro usuário tem o nome de Gui e o segundo Guilherme, ambos pode ter aplicativo instalado, exemplo o WhatsApp sem ter que baixa aplicativos, para utilizar 2 WhatsApp no mesmo celular.
Fiz um teste
Cliquei em esqueci a senha,
Recebi o link por e-mail,
Criei nova senha sem problemas,
Entrei na conta com acesso a senha de 4 digitos, tbm sem problemas.
Mas precisei fazer a autorização do aparelho por foto, o aparelho já foi liberado.
Só nos resta confiar cegamente que essa autorização por reconhecimento facial seja 100% segura!
Então eu fiz o teste no cenário que ele colocou acima, e utilizei outro cenário não citado acima, utilizando 3 aparelhos diferentes.
No primeiro cenário foi possível entra na minha conta.
Oba: como medida de segurança eu utilizaria para esse cenário a escapatória, de achar uma pessoa de bom coração na rua e enviar uma ordem de bloqueio ou formatação para o celular, impedido qualquer ato do assaltante.
Em outro cenário, o ladrão roubou meu celular e pegou minha senha, nisto trocou o e-mail, porém foi utilizar outro celular para não ser rastreado e tal, ele só conseguiria os dados para o cartão, para fazer compra, e nada de transferência, porque é necessário o reconhecimento facial.
O que pude perceber hoje, a facilidade de entra na minha conta basta ter o e-mail e CPF.
Como você citou poderia ser utilizado uma Assinatura Eletrônico