Uma vulnerabilidade no site da Caixa Econômica Federal permitia que hackers alterassem a URL na barra do domínio. Dessa maneira, códigos maliciosos poderiam ser injetados e enviados para clientes do banco. Diversos tipos de golpes poderiam ser aplicados com a ação — entre eles, o roubo de todos os dados bancários e pessoais de vítimas.
O TecMundo entrou em contato com a CAIXA durante a tarde de terça-feira (11). O banco agiu rapidamente comunicando que “identificou a inconsistência” no site e que corrigiria a brecha no mesmo dia que foi informado.
Um hacker poderia modificar a URL original injetando código falso na página
A brecha foi enviada ao TecMundo pelo desenvolvedor web Lincoln Brito, que deixou claro a tentativa de contatos anteriores com o banco, mas não havia tido sucesso. Brito enviou a brecha para o nosso canal de denúncia
“A brecha que descobri permite que o site da Caixa receba código via Query String e o imprima na tela sem passar antes por sanitização. Aparentemente afeta somente o Chrome. O sub-domínio afetado é o sifge, usado na emissão de certidão de regularidade do FGTS”, explicou Brito. “Para explorar a brecha, coloquei cada parâmetro em uma linha para visualizar melhor, testando com a variável VARCEP e adicionando um código HTML que cria um overlay com um link para o instalador do Teamviewer. Testei no Google Chrome, Microsoft Edge, Internet Explorer e Firefox, mas apenas o Chrome permitiu a exibição do conteúdo”.
Subdomínio afetado
Brecha no site da CAIXA deixava hackers enganarem clientes do banco
Segundo o desenvolvedor, um atacante poderia usar a URL modificada na CAIXA enviando via email ou WhatsApp, por exemplo. Dessa maneira, a vítima acreditaria que o link enviado seria genuíno. O motivo? Muitos especialistas de segurança ainda recomendam a checagem do “HTTPS” (cadeado ao lado do endereço) como único parâmetro de um domínio seguro — e isso está errado, em partes. Sim: o cadeado é um dos parâmetros, mas muitos sites fraudulentos também contam com o protocolo.
“As vítimas podem acabar confiando cegamente e clicando em possíveis links (injetados na página), dessa maneira, baixariam algum malware para roubo de senhas e qualquer outra informação“, adicionou Brito. Conheça: 5 erros que podem comprometer a segurança de dados empresariais, elencados pela SONDA Patrocinado
Como se proteger
A prevenção é o caminho: não aceite links de contatos desconhecidos ou recebidos via email e WhatsApp. Sempre que você precisar mexer com seus dados bancários ou sua conta, vá até os sites oficiais por conta própria ou busque ajuda nos perfis oficiais em redes sociais (normalmente, eles contam com um check azul de veracidade).
O desenvolvedor Lincoln Brito ainda adiciona:
Tem alguma duvida? quer ajuda? escreva nos comentários a baixo ou clique aqui e envie uma mensagem Se preferir WhatsApp 11 40632535
FONTE: https://www.tecmundo.com.br/seguranca/129187-brecha-site-caixa-deixava-hackers-enganarem-clientes-banco.htm