Segurança na troca de e-mail

O app do Nubank tem uma grande brecha de segurança. Suponha que você é assaltado e o ladrão te obriga passar a senha de desbloqueio do seu celular, o que não é incomum. No caso do iOS, ao abrir o app é solicitado o FaceId mas se ele não for reconhecido o iOS vai pedir o PIN do iPhone, e no caso o ladrão tem o pin em mãos pois te obrigou a passar.

O ladrão vai simplesmente em “Perfil/Meus dados” e troca o e-mail para o dele. Então ele sai do aplicativo, e tenta logar novamente. Se ele estiver com sua carteira, vai saber seu CPF, e vai por esqueci a senha. Ele vai receber o link pra redefinir senha no e-mail dele. Então ele troca a senha, e pode revelar seu PIN do Nubank, e fazer o limpa na conta.

O correto seria solicitar a senha alfanumerica atual do Nubank atual antes de efetuar a troca do e-mail. Isso já dificulta muito a ação criminosa.

Num assalto pode ser o que o bandido não tenha tempo de pedir a senha alfa-numerica do Nubank, e nesse caso você está seguro pois ele não vai conseguir trocar o e-mail.

Com certeza num sequestro ele vai fazer você digitar qualquer senha, mas num evento de assalto em lugar aberto, ele não terá muito tempo pra pedir todas essas senhas. É uma proteção a mais…

4 Likes

O procedimento de esqueci a senha também é falho, pois se o ladrão tá com meu celular, ele acessa meu app de e-mail e troca. Mas nesse caso, eu troquei meu e-mail do nubank pra um que não tem no meu celular, mas com a falha acima, não adianta muito eu ter esse outro e-mail.

Essas trocas de senhas e e-mail são muito sérias, não é algo que as pessoas fazem com frequência, e deveria ser um processo auditável por humanos.

3 Likes

Bem-vindo Murilo!
Essa questão da segurança está bem em alta por aqui, e recentemente repercutiu na mídia também.

Olha que legal essa sugestão do @caioluiz7500

8 Likes

Boas vindas a NuCommunity @Murilo_Santos4

Nunca tinha pensado sobre isso, estão decide fazer o passo a passo que você falou, realmente é um perigo.

1° Utilizei 2 celulares com redes diferente
Oba: nunca utilizado o App Nubank

Pensado que o celular foi roubado e o bandido sabe minha senha.

2° Ele consegue altera o meu e-mail sem verificação.

3° Instalei no outro celular e bastou colocar esqueci-me minha senha, é pá a senha na mão.

  1. Agora ele tem o cartão de crédito em mão, e débito só se o dinheiro tiver na parte de não guardado.

Porém o ele não vai conseguir fazer transferência para outra conta, porque o App solicitar reconhecimento facial, tentei fazer por uma foto minha mas não foi possível.

4 Likes

Mas o bandido vai fazer a transação no meu celular, não no dele. O dele só vai usar pra receber o llink de trocar a senha e trocar. Meu dispositivo já está autorizado. Ele nem precisa sair pra trocar a senha, pode fazer por um computador… tá certo que tem as variantes de tempo etc…mas não pedir a senha atual pra trocar o e-mail é uma falha grotesca ao meu ver.

4 Likes

Sim, também percebi que é possível fazer essa transação sem precisa da autorização, caso ele esteja já com App em mãos.

Estou considerando parar de usar o Nubank, e ir pro concorrente. Lá pelo menos ele envia dois token pra trocar senha, um no celular e outro no e-mail, ai usando a técnica do e-mail secundário deslogado já ferra o bandido, além de pedir o reconhecimento facial, embora eu não confio nesses reconhecimentos faciais. Já no concorrente, eu desabilitei o face id no login pra entrar com a senha, pois não pede nenhum PIN pra efetivar uma transação.

@Murilo_Santos4

Já comentei em outro tópico e cada vez que leio esse tipo de preocupação , eu acho que uma Assinatura Eletrônica igual a Caixa usa é melhor que essas soluções que os bancos em geral tem.

Nubank poderia fazer uns testes!:man_shrugging:t3::man_shrugging:t3:

:metal::metal::metal::metal:

4 Likes

Assinatura eletrônica ou token, autenticação por dois fatores, pedir a senha para realizar alterações cadastrais… Tá faltando uma camada de segurança a mais. De fato a troca do email tá muito fácil para um banco

6 Likes

Uma solução que o usuário pode adotar por hora seria, usar 2 usuários no celular.
1° usuário seria para bancos, coisa que o bandido pode roubar.
2° usurário com as outras informações.

2 Likes

Como assim? Isso funciona pra Android e iOS?

É uma opção pra quem tem Samsung com pasta segura.:+1::+1:

:metal::metal::metal::metal:

6 Likes

tem a opção 3: deixar outro e-mail pra cadastrar a conta, e não deixar ele logado no celular.

Quanto o IOS e ANDROID você consegue ter 2 usuários diferente.

Mas como funciona? Da seguinte forma como se fosse 2 aparelho diferente, porém é o mesmo aparelho, exemplo
O primeiro usuário tem o nome de Gui e o segundo Guilherme, ambos pode ter aplicativo instalado, exemplo o WhatsApp sem ter que baixa aplicativos, para utilizar 2 WhatsApp no mesmo celular.

Mas ali o ladrão já vai está no seu aplicativo, só basta ele troca o e-mail seu para o dele sem qualquer impedimento.

1 Like

Qualquer modificação/alteração ou transferência, só poderia ser concluída com uma senha (assinatura eletrônica).:white_check_mark:

Principalmente essa do email de cadastro.

:metal::metal::metal::metal:

3 Likes

@brunmj
@natan.jl
@guilhermereistg
@Murilo_Santos4

Fiz um teste
Cliquei em esqueci a senha,
Recebi o link por e-mail,
Criei nova senha sem problemas,
Entrei na conta com acesso a senha de 4 digitos, tbm sem problemas.
Mas precisei fazer a autorização do aparelho por foto, o aparelho já foi liberado.

Só nos resta confiar cegamente que essa autorização por reconhecimento facial seja 100% segura! :pray::pray::pray:

:metal::metal::metal::metal:

5 Likes

@Itamar mas você precisou fazer a liberação novamente em um novo aparelho ou após deslogar do aparelho atual?

O cenário que me preocupa, e se você conseguir testar é o seguinte:

  • trocar o email no aparelho legítimo
  • em outro aparelho, tentar iniciar sessão, ai clicar esqueci a senha, e trocar a senha (bandido tem seu CPF pois roubou sua carteira)
  • no aparelho legítimo, clicar pra revelar o PIN, e digitar a nova senha alterada no outro aparelho
  • tentar fazer uma transação no aparelho legítimo (agora que você(bandido) sabe o PIN)

Após pedir pra trocar a senha no mesmo aparelho.
Não tenho outro celular pra fazer esses testes!

Então é aqui que temos que confiar 100% no reconhecimento facial ,o celular ficará bloqueado pra algumas transações até vc fazer.

:metal::metal::metal::metal:

2 Likes

Então eu fiz o teste no cenário que ele colocou acima, e utilizei outro cenário não citado acima, utilizando 3 aparelhos diferentes.

No primeiro cenário foi possível entra na minha conta.
Oba: como medida de segurança eu utilizaria para esse cenário a escapatória, de achar uma pessoa de bom coração na rua e enviar uma ordem de bloqueio ou formatação para o celular, impedido qualquer ato do assaltante.

Em outro cenário, o ladrão roubou meu celular e pegou minha senha, nisto trocou o e-mail, porém foi utilizar outro celular para não ser rastreado e tal, ele só conseguiria os dados para o cartão, para fazer compra, e nada de transferência, porque é necessário o reconhecimento facial.

O que pude perceber hoje, a facilidade de entra na minha conta basta ter o e-mail e CPF.

Como você citou poderia ser utilizado uma Assinatura Eletrônico

2 Likes