Gostaria de trazer hoje um tópico para vocês que vi em alta no início de 2022, e gostaria de saber se alguém possui atualizações ou informações acerca deste.
É sobre o mecanismo de proteção do Nubank no caso do cliente esquecer a senha de acesso ao aplicativo e não possuir mais acesso ao e-mail cadastrado.
Para um cliente que apenas quer ter acesso novamente a sua conta, o sistema funciona bem, basta informar o CPF e enviar uma selfie segurando um o RG ou CPF; e em até 2 dias o cliente recebe o e-mail no endereço novo com as orientações.
No entanto, pessoas má intencionadas já tiraram proveito dessa forma de recuperação de conta se passando por clientes. A forma como isso acontece é simples, basta o golpista ter posse do CPF (quase público) e forjar uma selfie do alvo segurando o documento. Tais fotos não seriam impossíveis de se obter, tendo em vista a quantidade massiva de vazamento de informações e fotos como essas. Isso sem contar o crescimento exponencial de IA e deepfakes nos últimos tempos.
A pergunta é a seguinte, esse tipo de invasão às contas ainda é uma realidade, ou o Nubank implementou alguma camada extra de segurança?
Com o golpista em posse da conta, a última camada de segurança que protege o cliente de realizar transferencias, pegar empréstimos etc. é a senha de 4 digitos do cartão de crédito. E se a senha do cliente for uma senha fraca? Eu, pessoalmente, não me sinto seguro com a minha senha de 4 digitos, e o Nubank não dá a opção do cliente alterá-la. Como o Nubank se posiciona nesse caso? Já passou da hora de permitir o cliente de alterar a senha de 4 digitos.
Sendo bem sincero nunca vi grandes relatos em massa de invasão de conta quebrando o sistema do Nubank, geralmente os que já vi até hoje foi uma falha que seria o usuário conceber certos acesso que não deveria em seu dispositivo. Até hoje me surpreendo com a questão da agilidade no sistema de autorizar dispositivo que já me ajudou várias vezes até mesmo esses dias, não cheguei a testar a fundo, mas é perceptível que se pelo menos 5% da base de cliente do Nubank tivesse a conta invadida por falha do sistema ocorreria um grande alarde, coisa que confesso que não vi até hoje.
Separei uns artigos sobre essa questão de seguranças do Nu que divulgam pra trazer transparência ao processo e que de fato é um debate sempre válido, já que envolve nosso dinheiro.
Ainda sobre esse tópico, alguém tem a informação de se o Nubank permite que a selfie a se enviar para recuperar a senha seja com o passaporte? Infelizmente, um conhecido meu passou por uma situação desagradável na qual uma foto sua com seu passaporte foi exposta, cerca de 2 anos atrás, no exterior. Felizmente, não houve nenhuma tentativa de acesso a suas contas, mas existe a preocupação principalmente com bancos que utilizam tal forma de verificação de identidade.
Aliás, até me pergunto, quando o Nubank solicita pelo app que seja realizada uma selfie com o documento, o golpista conseguiria burlar o sistema e enviar uma foto já tirada? Quero dizer, não tirar a foto na hora, como o app solicita, mas conseguir usar uma foto (seja forjada ou não) que ele já tenha. Caso o Nubank consiga bloquear esse tipo de ação, seria uma grande barreira de segurança, alguém poderia confirmar isso?
Além disso, o sistema consegue bloquear caso o golpista tente tirar a selfie de uma tela? Por exemplo, ter em uma tela a foto da vítima e usar o celular para tirar a “selfie” no app.
Não é tão simples assim, Nubank tem um artigo que explica como é o reconhecimento facial deles e explica essa questão de alguém parecido ou usar uma foto pra burlar o sistema.
Entendo que há duas situações, o envio de selfie segurando o documento (para abrir a conta e trocar o e-mail de cadastro) e o reconhecimento facial (aquele que aparece o formato de um rosto para você encaixar em tempo real).
Eu tinha entendido que o envio de selfie segurando o documento era verificado por um funcionário do Nubank mesmo, tanto que demora até 2 dias para receber o retorno. É aí que vejo um risco maior.
O reconhecimento facial em si, concordo que é difícil de fraudar, porque o resultado sai na hora e tem todas as proteções que foram levantadas no post. Mas esse reconhecimento, até onde sei, é usado apenas se o usuário quer visualizar a senha de 4 digitos, não é? Talvez fosse interessante se esse sistema fosse usado para a troca de e-mail cadastrado, além da selfie com o documento. Aí realmente seria muito difícil de burlar.
Essa questão de não poder trocar a senha de 4 digitos é do próprio Nubank mesmo. Eu tenho contas em outros bancos com cartões MasterCard, que permitem a troca da senha.
Para acessar o app posteriormente, o fraudador precisar passar pelo reconhecimento facial então?
Eu tinha entendido que, em posse do novo e-mail cadastrado, o fraudador conseguiria redefinir a senha e fazer o login. Para fazer transferências, precisaria da senha de 4 digitos, mas no caso de uma senha fraca, pode ser fácil cruzar essa barreira.
O fraudador fazer tudo isso sem que o cliente tome ciência do que tá acontecendo é bem improvável. Imaginando que consiga fazer a redefinição do e-mail (coisa que já acho pouco provável), para que autorize aquele dispositivo a ter acesso a conta por completo vai passar pelo reconhecimento facial, é inevitável.
Esses dias só o fato de formatar o celular e acessar a minha conta, tive que passar no reconhecimento facial de todo jeito, então além da segurança, ainda tem essa etapa antes de sequer acessar todas as funções do App. Então concordo com o @Mauricio_Martiniano que não vai ser nem de longe fácil e isso que o Nubank ainda envia notificação pro cliente seja por e-mail, etc.
Certo, então só por favor me confirma, ao entrar em um celular novo, já assumindo que o fraudador tem posse de um e-mail recadastrado e nova senha, ele vai precisar fazer o reconhecimento facil (aquele em que o cliente precisa encaixar o rosto em um molde na tela e o resultado sai imediatamente)? Acredito que a resposta dessa pergunta resolve a questão.
Cabe a nós acreditamos que esse sistema de reconhecimento facial é infalível.
Sim o resultado é na hora, falo por experiência própria nesse caso, já que recentemente troquei o celular e tive que autorizar acesso a tudo que é banco, assim que entrei pela minha conta estava sem o acesso a tudo, cartão, transferência, etc.
Porque só consigo acessar depois do reconhecimento facial que o resultado sai na hora após escanear. E a título de curiosidade o Nu usa a FaceTec como tecnologia de reconhecimento, a mesma que é usada em inúmeras instituições brasileiras se você observar que o layout é quase sempre parecido.
Alguém tem alguma informação quanto a isso? De usar o passaporte como documento, dada a essa foto que infelizmente foi exposta.
Entendo que mesmo que venha a redefinir o e-mail e senha, precisaria fazer o reconhecimento facial para fazer movimentações. Mas mesmo assim, a pessoa conseguiria visualizar o saldo da conta, o que seria desagradável.
Pelo que pesquisei nas orientações oficiais pedem RG ou CNH, só que na hora que seu colega for enviar as fotos deve aparecer uma descrição falando o que aceitam no anexo.
Sim, se tiver alguma outra opção de documento como Passaporte vai aparecer lá também pro seu amigo.
Alguns dias atrás quando fui autorizar o acesso ao meu dispositivo não dava pra ver saldo e nem nadinha, era apenas uma tela falando pra autorizar acesso a conta e apenas isso.
Então, não é para ele. Estou perguntando porque foi exposta essa foto dele segurando o passaporte aberto, por isso queria saber se existe o risco de o Nubank aceitar como forma de uma pessoa má intencionada de redefinir o email e senha da conta.
O tópico criado gera dúvida quanto a finalidade.
Em caso concreto de problemas relativos ao acesso, a orientação é entrar em contato com o NU e se inteirar quanto aos procedimentos vigentes.
Da forma como os questionamentos foram escalados, tem-se a impressão que o objetivo é descobrir se alguma falha por ser explorada.
Tenho certeza de que os pontos discutidos podem ajudar pessoas que estejam preocupadas com o risco de acesso às suas contas, assim como posts antigos me ajudaram. Eu entrei em contato com suporte da Nu, e o máximo que ouvi foi que o sistema deles tem várias barreiras de segurança, sem me falar detalhes, como o @ranielreis trouxe. Cheguei até a considerar cancelar minha conta do Nubank por entender que os bancões estão a frente no quesito segurança, e ver fragilidades em trocar o endereço de e-mail simplesmente com uma selfie com o documento.
Os pontos levantandos pelo @ranielreis foram bem esclarecedores e me deixaram mais tranquilo. Como destaques, podemos concluir:
A verificação facial inibe qualquer movimentação que possa causar prejuízo caso o cliente tenha sua conta invidida.
A princípio, o passaporte não pode servir como forma de recuperar o e-mail e senha.
Seria muito positivo se o Nubank permitisse a troca da senha de 4 digitos.
Não entendi a necessidade de acusações levianas @LuizGSF, mas peço desculpas se transmiti uma impressão equivocada.