Navegando no linkedin me deparei com uma postagem crítica de uma cliente do Nubank sobre uma falha de segurança na recuperação de senha da conta.
Segue relato (autora Gabriella De Napoli):
Sou cliente do Nubank desde 2015, e até ontem eu recomendava o banco pra qualquer pessoa que me perguntasse. Não mais.
Durante a madrugada de ontem houve uma tentativa de invasão à minha conta de maneira extremamente rudimentar e tosca. Infelizmente (e inexplicavelmente) quase conseguiram.
O evento começou com uma solicitação de troca de senha da minha conta que chegou ao meu e-mail e que não foi feita por mim. Fiquei preocupada mas pensei que nada estivesse em risco pois a única pessoa com acesso a esse e-mail era eu mesma.
Cerca de 3 minutos depois, recebo dessa vez um e-mail informando que o e-mail da minha conta bancária havia sido alterado para uma conta que criaram no Gmail com meu nome e sobrenome.
Aqui vai uma observação muito importante: pra você conseguir mudar o e-mail de uma conta pelo fluxo de “esqueci minha senha”, é necessário enviar uma foto de seu rosto com o documento de identificação ao lado. O(a) criminoso(a) enviou uma foto dele(a) mesmo(a) e pasmem: em menos de TRÊS MINUTOS a foto de uma pessoa que não era eu com um documento que não era meu foi aprovada pelo Nubank como minha, e a pessoa conseguiu efetuar a troca do e-mail.
Logo depois a pessoa criminosa tentou validar o aparelho dela, o que ela conseguiria fazer com essa troca de e-mail caso eu não estivesse acordada no momento e com o celular na mão pra impedir isso imediatamente.
Pelo aplicativo, não consegui saber que o Nubank tem atendimento pelo telefone. Mesmo assim liguei procurando o telefone no Google e os desdobramentos foram um show de horrores. Fui extremamente mal atendida por uma funcionária inacreditavelmente mal-educada. Expliquei toda a história, obviamente muito nervosa com a possibilidade de roubarem meu dinheiro. A atendente teve acesso à fotografia enviada pelo(a) criminoso(a) e me perguntou se meu cabelo é cacheado. Respondi que não, e que aquela foto aprovada por eles não era minha. Perguntei se havia alguma maneira de termos acesso à foto de quem tentou invadir minha conta e ela respondeu que não. Totalmente sem paciência, ela me pediu para trocar a senha do aplicativo e desligou o telefone.
Por sorte gravamos a ligação (nenhum protocolo foi informado) e abrirei um B.O. para investigar o que aconteceu e quem fez isso. Passeando pelo Reclame Aqui, vi mais de 20 reclamações de invasões bem-sucedidas utilizando o mesmo método.
Nubank, agradeço a sacudida que vocês deram no setor, que trouxe inúmeros benefícios aos usuários. Hoje, entristece-me saber que vocês contratam pessoas sem um mínimo de educação para representar a marca e atender seus clientes, e que seus usuários estão sujeitos a uma falha de segurança simplesmente risível.
Sou correntista do Banco Itaú desde meus 16 anos. A única vez que sofri fraude, eles mesmos me avisaram do ocorrido e sem nenhuma necessidade de intervenção minha as transações feitas foram prontamente canceladas.
Certamente abro mão de cartão colorido e comunicação moderninha por segurança.
Após contato da Nubank:
Abaixo segue o link da publicação:
Fica o questionamento: quais os procedimentos de segurança que a empresa vem tomando após essa falha? Pelo relato realmente trata-se de uma vulnerabilidade besta. E o pior… falha no atendimento.
Se a história for verídica de verdade isso se torna muito preocupante sim! Porém, para mim,continuo depositando confiança na instituição.Todas as instituições estão passíveis de ataques hackers ou algo desse tipo.
Como pode-se ver nesse relato,também aconteceu no Itaú,com uma única diferença: o problema foi prontamente resolvido e o atendimento foi melhor.Novamente,se todo esse fato realmente aconteceu,porque digo isso? Porque postar qualquer um pode postar qualquer coisa,isso não significa que o ocorrido seja verdadeiro.Cabe ao Nubank aprender com essegrave erroe melhorar o atendimento.
confesso que quem está perdendo não são os bancos coloridos, mas a própria Gabriella.
Porém, essa questão precisa muito ser revisada e solucionada.
Visto que meu caso aconteceu há 2 anos, aparentemente nenhum, já que o golpe, pelo que entendi foi o mesmo. Em contrapartida, o número de usuários que estão relatando problemas para validar o reconhecimento facial* tem aumentado, então devem estar testando melhorias.
*face ID é outra coisas, valew @endydealmeida pelo toque!
Deixo aqui minha sugestão: sempre que houver mudança de e-mail, de senha, e na sequência transações incomuns, ligar para o cliente para confirmar a veracidade dos fatos.
@brezegue , aí que está, vem o aviso de que o e-mail foi alterado, então qualquer confirmação vem pra esse novo contato cadastrado. Sigo apoiando uma ligação, que tem toda a questão de ser rastreável por telemetria, a linha precisa de um CPF pra estar ativa.
Enquanto o e-mail só tem mesmo o IP.
Claro, quando o assunto fica sério e a polícia de crimes cibernéticos entra em ação.
No meu caso relatado, tive um pouco de trabalho só pra conseguir um extrato detalhado, mas tenho certeza que se fosse em um banco tradicional perderia muito mais tempo, muitas idas à agencia, fila, espera, etc etc.
Não deixei de confiar, mas um pé atrás a gente fica, e qualquer notificação de madrugada o coração gela e chega para por um momento.
Para dúvidas do dia-a-dia, não tenho o que reclamar do atendimento, porém quando o assunto é fraude, por experiência própria, e pelo relato acima, parece faltar um pouco de treinamento, estabelecer protocolos/padrões, e tomar medidas mais efetivas.
Quando liguei falando da fraude, mudaram o contato para meu e-mail e só me passaram informações do cartão de crédito, fizeram prontamente o reembolso como crédito de confiança. Nesse meio tempo, fiquei sem acesso a minha conta, ela foi bloqueada preventivamente. Somente quando me liberaram novamente o acesso ( mais de uma semana depois) fui ver o rombo: 15 mil de empréstimos, e transferências do empréstimo e do meu saldo para laranjas.
Só explicando melhor esse ponto: O Nubank utiliza uma solução de reconhecimento facial de uma empresa contratada para autorizar os dispositivos. Esses dados biométricos são enviados, processados e só assim o aplicativo procede com a autorização ou não.
Já o Face ID é uma tecnologia proprietária da Apple de reconhecimento facial, utilizada no app do Nubank com o intuito de abrir o mesmo caso o cliente habilite a função. Nesse caso, toda a autenticação biométrica é realizada localmente pelo aparelho, fora do controle do app. Este último só pergunta: “fulano é fulano mesmo?” e o iOS responde sim ou não. O Touch ID (reconhecimento da digital) segue o mesmo esquema.
Acho que eles tem um funcionário que assim como eu, é um péssimo fisionomista. Que libera acesso a torto e direito.
Desta ultima vez que precisei logar as contas no novo dispositivo, algumas pediram para piscar, outro para virar o rosto pra direita e esquerda, aproximar, etc. E a dúvida persiste: Como burlam essa etapa no meu caso, nesse relato da Gabriella, e outros que certamente acontecem?
Nos preocupamos muito com a segurança dos nossos clientes e manter a sua conta protegida sempre será nossa prioridade, ao acessar a conta do Nubank através de outro dispositivo, solicitamos o código de verificação por e-mail juntamente com o reconhecimento facial do titular e somente após a confirmação desses dados que ocorre a liberação da movimentação de sua conta. O caso em questão, apresentado aqui está sendo analisado internamente, recebendo total atenção por parte do Nubank.
Todos os feedbacks/sugestões recebidos são analisados, para assim oferecer a melhor experiências para vocês.
Em caso de qualquer dúvida, entrem em contato com a gente também via chat ou por telefone [0800 608 6236] para que possamos analisar juntos essa questão, estamos sempre à disposição para ajudá-los em qualquer momento.
Contem com a gente sempre!
Muitas plataformas tem uma pergunta secreta como o nome do primeiro animal de estimação, professora, etc, poderia ser utilizado isso ou a senha de 4 dígitos pra confirmar, além do reconhecimento facial. Outra opção é mandar um e-mail pro e-mail anterior e uma notificação no dispositivo anterior avisando e aguardar um determinado tempo pra liberar, durante esse tempo o dono real (se for uma fraude) pode cancelar o processo pelo próprio app
É difícil conseguir arrumar uma maneira de proteger completamente o usuário, e as mais eficazes tendem a diminuir a facilidade de uso da plataforma que é sua principal característica. O que dá pra fazer é tentar dificultar as ações de bandidos, mas é necessário avaliar o custo benefício dessa proteção
Eu já falei várias vezes sobre esse tipo de vulnerabilidade aqui, às vezes até de forma mais agressiva. Não é um problema exclusivo do Nubank, a maioria das instituições infelizmente seguem esse caminho.
Essa aqui é uma excelente solução.
2FA de verdade (via Google Authenticator para os mais paranóicos) ou 2FA de mentira (via e-mail e SMS, para os demais clientes) acabaria com esse tipo de ataque.
Se o usuário perder acesso ao e-mail/SMS, paciência… que passe por um processo bastante burocrático e cansativo, para o bem de todos.
Até o site da padaria da esquina hoje oferece 2FA, mas nenhuma fintech oferece!
A NuCommunity permite ativar 2FA, mas o aplicativo não
Bem, eu já presenciei duas vezes esse tipo de ataque acontecendo. Uma delas foi interessante, não sei o exatamente que aconteceu, mas o golpista aproveitando-se do lado humano do atendente conseguiu gerar uma demanda que daria acesso indevido à conta de um cliente, com alteração de dados que inclusive nem fazem parte do processo. Por sorte, como esses dados nem poderiam ser alterados pelo atendente, escalaram a demanda pra TI – a qual me neguei a fazer com muito prazer.
Então sei que é algo real, é um processo que golpistas tentam abusar todos os dias.
Confesso que quando vi essa matéria fiquei bem assustado e preocupado com a facilidade de trocar o e-mail da conta do Nubank bem como ter acesso a dados de forma bem fácil.
Sinto muito em ouvir esse relato da Gabriella de Napoli e confesso que me senti como se estivesse vivendo esse problema como relatado por ela.
Me coloquei no lugar dela e entendo que todos os serviços digitais estão sujeitos a falha de segurança e realmente espero que com esse relato o Nubank possa ter um olhar mais crítico para essa falha de segurança e possa nos oferecer uma segurança maior conforme a @AdrianaR relatou aqui na Nucommunity.
A segurança do cliente é algo muito importante que deve ser levado muito a sério, principalmente por causa do avanço tecnológico, bem como o avanço dos hackers em achar brechas de segurança para invadir sistemas, contas e etc.
O aplicativo do Nubank hoje oferece segurança através de reconhecimento facial e códigos enviados por e-mail e SMS cadastrados o que eu acho uma ferramenta de segurança bem válida na minha opinião, mas confesso que ainda sim após o relato da Gabriella vejo que não é suficiente.
Fiquei bem preocupado em ouvir essa parte do relato, isso mostra que de maneira simples é possível obter acesso completo a conta.
Apoio também que qualquer alteração de dados sensíveis, seja feita uma autenticação em dois fatores ou até mesmo um contato imediato da equipe do Nubank que cuida da parte de segurança para averiguar quaisquer movimentações ou acessos suspeitos de outros dispositivos, e-mail e etc.
Enfim… Espero mesmo que o Nubank ouça esse relato e com isso melhore a nossa segurança visando a proteção de dados e nos dando uma tranquilidade e confiança maior com relação a nossa segurança.
O Nubank está procurando um crescimento rápido, o aumento do número de clientes fragiliza a segurança se meios modernos de segurança não forem aplicados, ainda mais agora com a fusão da NuInvest com a NuConta expondo os valores aplicados. O mínimo é acrescentar token no celular, com geração de senhas numéricas aleatórias de segurança para cada operação relevante no aplicativo, token esse que só poderá se reinstalado noutro celular após a desinstalação do inicial, bloqueando assim movimentação da conta por terceiros em outros aplicativos.