Vulnerabilidade na Conta

Acho que um 2FA já resolveria esse problema. Não sei está assim hoje… de qualquer alteração cadastral, etc ser validado/confirmado por e-mail.

2 curtidas

@brezegue , aí que está, vem o aviso de que o e-mail foi alterado, então qualquer confirmação vem pra esse novo contato cadastrado. Sigo apoiando uma ligação, que tem toda a questão de ser rastreável por telemetria, a linha precisa de um CPF pra estar ativa.
Enquanto o e-mail só tem mesmo o IP.
Claro, quando o assunto fica sério e a polícia de crimes cibernéticos entra em ação.
No meu caso relatado, tive um pouco de trabalho só pra conseguir um extrato detalhado, mas tenho certeza que se fosse em um banco tradicional perderia muito mais tempo, muitas idas à agencia, fila, espera, etc etc.

Não deixei de confiar, mas um pé atrás a gente fica, e qualquer notificação de madrugada o coração gela e chega para por um momento.

Para dúvidas do dia-a-dia, não tenho o que reclamar do atendimento, porém quando o assunto é fraude, por experiência própria, e pelo relato acima, parece faltar um pouco de treinamento, estabelecer protocolos/padrões, e tomar medidas mais efetivas.

Quando liguei falando da fraude, mudaram o contato para meu e-mail e só me passaram informações do cartão de crédito, fizeram prontamente o reembolso como crédito de confiança. Nesse meio tempo, fiquei sem acesso a minha conta, ela foi bloqueada preventivamente. Somente quando me liberaram novamente o acesso ( mais de uma semana depois) fui ver o rombo: 15 mil de empréstimos, e transferências do empréstimo e do meu saldo para laranjas.

3 curtidas

Só explicando melhor esse ponto: O Nubank utiliza uma solução de reconhecimento facial de uma empresa contratada para autorizar os dispositivos. Esses dados biométricos são enviados, processados e só assim o aplicativo procede com a autorização ou não.

Já o Face ID é uma tecnologia proprietária da Apple de reconhecimento facial, utilizada no app do Nubank com o intuito de abrir o mesmo caso o cliente habilite a função. Nesse caso, toda a autenticação biométrica é realizada localmente pelo aparelho, fora do controle do app. Este último só pergunta: “fulano é fulano mesmo?” e o iOS responde sim ou não. O Touch ID (reconhecimento da digital) segue o mesmo esquema.

:wink:

11 curtidas

ops. não sabia dessa, vivendo e aprendendo!
Valew

Acho que eles tem um funcionário que assim como eu, é um péssimo fisionomista. Que libera acesso a torto e direito.

Desta ultima vez que precisei logar as contas no novo dispositivo, algumas pediram para piscar, outro para virar o rosto pra direita e esquerda, aproximar, etc. E a dúvida persiste: Como burlam essa etapa no meu caso, nesse relato da Gabriella, e outros que certamente acontecem?

Olá Pessoal!
Tudo bem?

Nos preocupamos muito com a segurança dos nossos clientes e manter a sua conta protegida sempre será nossa prioridade, ao acessar a conta do Nubank através de outro dispositivo, solicitamos o código de verificação por e-mail juntamente com o reconhecimento facial do titular e somente após a confirmação desses dados que ocorre a liberação da movimentação de sua conta. O caso em questão, apresentado aqui está sendo analisado internamente, recebendo total atenção por parte do Nubank.
Todos os feedbacks/sugestões recebidos são analisados, para assim oferecer a melhor experiências para vocês.

Em caso de qualquer dúvida, entrem em contato com a gente também via chat ou por telefone [0800 608 6236] para que possamos analisar juntos essa questão, estamos sempre à disposição para ajudá-los em qualquer momento.
Contem com a gente sempre!

Abraços, :purple_heart:

14 curtidas

Muitas plataformas tem uma pergunta secreta como o nome do primeiro animal de estimação, professora, etc, poderia ser utilizado isso ou a senha de 4 dígitos pra confirmar, além do reconhecimento facial. Outra opção é mandar um e-mail pro e-mail anterior e uma notificação no dispositivo anterior avisando e aguardar um determinado tempo pra liberar, durante esse tempo o dono real (se for uma fraude) pode cancelar o processo pelo próprio app

É difícil conseguir arrumar uma maneira de proteger completamente o usuário, e as mais eficazes tendem a diminuir a facilidade de uso da plataforma que é sua principal característica. O que dá pra fazer é tentar dificultar as ações de bandidos, mas é necessário avaliar o custo benefício dessa proteção

6 curtidas

Disse tudo aqui!

Se nem guardando o dinheiro em casa embaixo do colchão a chance de ele estar lá é 100% garantida, imagina num ambiente virtual!

2 curtidas

Mas penso o contrário, se nem guardando o dinheiro num ambiente virtual a chance de ele estar lá é 100% garantida, imagina em casa embaixo do colchão!

5 curtidas

Eu já falei várias vezes sobre esse tipo de vulnerabilidade aqui, às vezes até de forma mais agressiva. Não é um problema exclusivo do Nubank, a maioria das instituições infelizmente seguem esse caminho.

Essa aqui é uma excelente solução.

2FA de verdade (via Google Authenticator para os mais paranóicos) ou 2FA de mentira (via e-mail e SMS, para os demais clientes) acabaria com esse tipo de ataque.

Se o usuário perder acesso ao e-mail/SMS, paciência… que passe por um processo bastante burocrático e cansativo, para o bem de todos.


Até o site da padaria da esquina hoje oferece 2FA, mas nenhuma fintech oferece!

10 curtidas

quanto ódio nesse coraçãozinho :rofl:

agora me fez repensar sobre o meu esconderijo secreto de dinheiro.

1 curtida

Concordo 100%!

2 curtidas

A NuCommunity permite ativar 2FA, mas o aplicativo não :roll_eyes:

:rofl: :rofl:


Bem, eu já presenciei duas vezes esse tipo de ataque acontecendo. Uma delas foi interessante, não sei o exatamente que aconteceu, mas o golpista aproveitando-se do lado humano do atendente conseguiu gerar uma demanda que daria acesso indevido à conta de um cliente, com alteração de dados que inclusive nem fazem parte do processo. Por sorte, como esses dados nem poderiam ser alterados pelo atendente, escalaram a demanda pra TI – a qual me neguei a fazer com muito prazer.

Então sei que é algo real, é um processo que golpistas tentam abusar todos os dias.

5 curtidas

Ahhh sim, pensei que os votos de um processo burocrático e cansativo seria para o usuário :joy:

Prioridades

1 curtida

Que coincidência:


Justo hoje que estamos falando de segurança da conta :joy:

3 curtidas

Olá @brezegue :wave:

  • Confesso que quando vi essa matéria fiquei bem assustado e preocupado com a facilidade de trocar o e-mail da conta do Nubank bem como ter acesso a dados de forma bem fácil.

Sinto muito em ouvir esse relato da Gabriella de Napoli e confesso que me senti como se estivesse vivendo esse problema como relatado por ela.

Me coloquei no lugar dela e entendo que todos os serviços digitais estão sujeitos a falha de segurança e realmente espero que com esse relato o Nubank possa ter um olhar mais crítico para essa falha de segurança e possa nos oferecer uma segurança maior conforme a @AdrianaR relatou aqui na Nucommunity.

A segurança do cliente é algo muito importante que deve ser levado muito a sério, principalmente por causa do avanço tecnológico, bem como o avanço dos hackers em achar brechas de segurança para invadir sistemas, contas e etc.

  • O aplicativo do Nubank hoje oferece segurança através de reconhecimento facial e códigos enviados por e-mail e SMS cadastrados o que eu acho uma ferramenta de segurança bem válida na minha opinião, mas confesso que ainda sim após o relato da Gabriella vejo que não é suficiente.

Fiquei bem preocupado em ouvir essa parte do relato, isso mostra que de maneira simples é possível obter acesso completo a conta.

Apoio também que qualquer alteração de dados sensíveis, seja feita uma autenticação em dois fatores ou até mesmo um contato imediato da equipe do Nubank que cuida da parte de segurança para averiguar quaisquer movimentações ou acessos suspeitos de outros dispositivos, e-mail e etc.

  • Enfim… Espero mesmo que o Nubank ouça esse relato e com isso melhore a nossa segurança visando a proteção de dados e nos dando uma tranquilidade e confiança maior com relação a nossa segurança. :purple_heart:
6 curtidas

O Nubank está procurando um crescimento rápido, o aumento do número de clientes fragiliza a segurança se meios modernos de segurança não forem aplicados, ainda mais agora com a fusão da NuInvest com a NuConta expondo os valores aplicados. O mínimo é acrescentar token no celular, com geração de senhas numéricas aleatórias de segurança para cada operação relevante no aplicativo, token esse que só poderá se reinstalado noutro celular após a desinstalação do inicial, bloqueando assim movimentação da conta por terceiros em outros aplicativos.

1 curtida

O Banco está em crescimento rápido. O aumento do número de clientes fragiliza a segurança, ainda mais agora com a fusão da NuInvest com a NuConta expondo os valores aplicados. O mínimo é acrescentar token no celular, com geração de senhas numéricas aleatórias de segurança para cada operação relevante no aplicativo. Token esse que só poderá se reinstalado noutro celular após a desinstalação do inicial. Assim há bloqueio da movimentação da conta por terceiros em outros aplicativos.

Pelo menos, Nome, telefone, endereço e e-mail, que são as mais importantes, estáo assim.
E dai a César o que é de César, pois a 2FA é uma excelente medida para evitar golpes, desde que o cliente não esteja sob coação.

4 curtidas

Se o token for enviado por SMS ou E-mail, pode aumentar a segurança, mas isso gera um custo adicional além de burocratizar o processo. Não sei se o bônus vale o ônus

E se a pessoa não tem acesso ao dispositivo anterior? Por exemplo, foi roubado ou caiu na privada

Em outra postagem, discutimos essa vulnerabilidade, analisamos e testamos o fluxo de troca de email e identificamos os pontos fracos desse processo. Também sugerimos algumas soluções, semelhantes às propostas nesta postagem.

@rmaguiar @Samuel @brunmj @brezegue @endydealmeida @AdrianaR @costamilam @RafaelH @Guilherme_Crespo , se não tiverem visto ainda e quiserem dar uma olhada:

5 curtidas