Pesquisador encontra falhas de segurança em banco que funciona apenas por celular

HAMBURGO, Alemanha (Reuters) - A companhia alemã tecnológica de serviços financeiros (fintech) N26, que fez seu nome zombando dos bancos tradicionais, está sendo alvo de uma série de críticas depois que um pesquisador de segurança digital provou que os aplicativos para celular da instituição expuseram os usuários a potencial sequestro de suas contas.

A startup N26, anteriormente conhecida como Number26, cresceu rapidamente desde seu lançamento no início de 2015 como um banco que opera apenas por celulares inteligentes e que não possui agências. O banco conta com o apoio de grandes investidores globais, incluindo Peter Thiel, do Vale do Silício, nos Estados Unidos.

Vincent Haupert, pesquisador e doutorando do departamento de ciência da computação da Universidade de Erlangen-Nuernberg, afirmou durante o congresso Chaos Communications, em Hamburgo, que ele e dois colegas encontraram brechas de segurança no N26 que poderiam ser usadas para fraudar milhares de usuários.

"Eles dizem que você pode abrir uma conta em apenas oito minutos", disse Haupert. "Acontece que você pode perdê-la ainda mais rápido que isso."

Em comunicado, o N26 agradeceu a Haupert pelo alerta sobre uma "vulnerabilidade teórica de segurança" e por conselhos para reparar as brechas de segurança, que, segundo o banco, foram consertadas neste mês.

O N26 oferece uma variedade de serviços financeiros e bancários para 200 mil clientes em 17 países europeus por meio de uma licença de operação concedida neste ano pelo órgão alemão de regulação financeira Bafin.

Durante o congresso Chaos, o maior encontro anual de hackers da Europa, Haupert disse como ele e a sua equipe encontraram várias maneiras de atacar os aplicativos bancários do N26 para sequestrar as contas dos clientes.

"Com essa estratégia, as fintechs desperdiçam a confiança que os bancos estabeleceram ao longo dos anos ", disse ele.

Haupert disse que comparou dados gerados por um vazamento de 68 milhões de credenciais de acesso da companhia de armazenamento de dados online Dropbox com as informações sobre usuários do N26 que ele conseguiu recuperar de softwares do próprio banco. Segundo o pesquisador, ele conseguiu identificar 33 mil credenciais de acesso de usuários do N26 sem alertar os sistemas antifraude do banco.

A partir daí, Haupert afirma que seria simples enviar um email que se fizesse passar como sendo enviado pelo próprio N26 e que potencialmente poderia permitir a ele invadir as contas de usuários do banco.

"Não se preocupem, não fizemos isso", disse Haupert durante a conferência. "Meu professor tinha preocupações jurídicas quanto a isso."

Em vez disso, o pesquisador revelou suas descobertas para o N26 em 25 de setembro.

Em resposta, o N26 afirmou em comunicado que tornou as contas dos usuários mais seguras por meio de criptografia de dados; bloqueio de ataques de "força bruta", quando hackers podem adivinhar rapidamente as senhas dos usuários; e reparando fraquezas no software de reconhecimento de voz.

"Em nenhum momento dados de nossos clientes estiveram disponíveis a terceiros", afirmou em comunicado o banco. "Nenhum cliente do N26 foi impactado pelas vulnerabilidades demonstradas", acrescentou a instituição financeira.

(Por Eric Auchard)