Nubank, um dos maiores bancos digitais no Brasil, teve os dados de seus clientes vazados através de uma vulnerabilidade no API do PIX na plataforma.
Em uma atualização sistêmica no dia 5 de outubro, a Nubank deixou uma vulnerabilidade explorada por um hacker não identificado que conseguiu a base de dados de seus clientes, incluindo login e senhas.
Segurança na Nubank.
Sendo uma das maiores provedores de serviços bancários nacional, a Nubank está enfrentando várias dificuldades e nessa última atualização a plataforma deixou brechas para o famoso ataque phishing no API do PIX.
Ataque phishing é uma engenharia social, onde o ataque não é feito direto a plataforma Nubank, porém usando o API do PIX da provedora, dentro desse ataque, os clientes foram desligados de suas contas e tiveram seus dados expostos.
Segundo informações não confirmadas, o sistema de gerenciamento e banco de dados da Nubank está “caótico” com saldos enviados que não chegam ao destino, o reenvio de senha que não está funcionando como deveria, entre outros problemas que os clientes encontram ao utilizar a plataforma.
Na tarde do dia 5 de outubro, Thiago, o hacker de Chapéu branco entrou em contato com a Nubank, desta vez para informar sobre essa vulnerabilidade e os riscos que a plataforma e seus clientes estavam expostos.
https://twitter.com/ThiagoG56977658/status/1577774154287308806?t=0eqwnZ5P2Rb5fRZpAXMepQ&s=19
Serviço enganoso de criptomoedas.
Não é a primeira vez que o Nubank sofre com algum tipo de vulnerabilidade ou alvo de hackers por algum tipo de má conduta a seus clientes.
Recentemente um hack de Chapéu branco muito conhecido entre os brasileiros expôs a Nubank e outras grandes empresas no mercado financeiro nacional como a XP investimentos por enganar seus usuários ao supostamente permitir a compra e negociação de bitcoin na plataforma.
O hack então concedeu um prazo de 30 dias para adicionar a carteira de criptomoedas, ou remover por completo o serviço, uma vez que esse ato enganoso induzia seus cliente e atraia novos para a plataforma pensando estarem negociando criptomoedas, e na realidade não estavam.