Site da Caixa tinha vulnerabilidade que expunha dados dos usuários

Um cliente do banco tentou acessar a página do FIES e descobriu a falha de segurança

Foto: Shutterstock
http://pcworld.com.br/site-da-caixa-tinha-vulnerabilidade-que-expunha-dados-dos-usuarios/
Clique para copiar

Até a última quarta-feira (28), os clientes da Caixa Econômica Federal podiam ter seus dados expostos no site da companhia. Felizmente, a falha na segurança já foi corrigia, porém, indivíduos mal-intencionados podiam acessar aos dados facilmente.

Uma vulnerabilidade – nomeada de XSS ou cross-site scripting – estava presente no portal da Caixa, especificamente na página de acesso do Financiamento Estudantil (FIES). A falha reproduzia na tela seguinte qualquer coisa que o usuário digitasse, até mesmo cógidos. Dessa forma algum cliente malicioso poderia reestruturar a página por meio de programação e criar um meio para os usuários caírem em golpes, como na página abaixo.

De acordo com a PSafe, a falha de segurança era realmente grave, pois as alterações eram produzidas na própria página da Caixa, dificultando a descoberta por um antivírus ou pelo próprio cliente. “Quando é uma página falsa, podemos fazer um bloqueio automático no antivírus. Nesse caso o site é o verdadeiro e poderia ser recriado de várias maneiras, ficaria difícil para os antivírus”, disse o diretor da Dfndr Lab, Emilio Simoni, do grupo PSafe.

A falha foi identificada pelo técnico de redes Mateus Gomes no dia 1º de julho de 2019, já que ele é cliente e percebeu o erro ao entrar na página do FIES para cancelar o serviço. Ao não conseguir entrar em contato com o banco, Gomes revelou sobre a falha ao grupo de pesquisadores de segurança Open Bug Bounty, que emitiu um relatório afirmando sobre a realidade da vulnerabilidade.

Após a descoberta, a Caixa Econômica Federal foi avisada e corrigiu o erro no dia seguinte (29). A Caixa também revelou que a falha só funcionava entre clientes do banco, então para acessar a página também era necessário ter uma conta vinculada ao site.

Fonte: Tilt

Este anúncio desaparecerá em:

Ir para o site