A ferramenta de cobrança do aplicativo do Nubank deixava expostos dados pessoais de clientes da instituição. A falha foi localizada pesquisador em segurança digital Heitor Gouvêa e noticiada pela Exame.

O Nubank diz já ter corrigido o problema.

Na função cobrança, o cliente da instituição pode digitar o valor que deseja receber de uma pessoa e enviar um link com seus dados pessoais como nome completo, CPF, agência e conta para que ela faça o pagamento.

Esse link compartilhável estava sendo indexado pelo Google, ou seja, poderia ser encontrado por busca, tornando os dados pessoais do cliente públicos.

No relatório com a falha, Gouvêa mostra que clientes estavam compartilhando links próximos no Twitter, como uma brincadeira. “Alguém quer me dar um presente de aniversário? Então paga essa conta aqui pra mim” dizia uma das postagens acompanhada de link de cobrança.

Em nota, o Nubank disse ter constatado que os links indexados pelo Google tinham origem em outros sites. “Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão”.

A fintech disse ainda que “o cliente pode definir como e com quem compartilhará cada URL gerada”.