Falha no site do Bradesco permitia hackers modificarem a página. Falha de cross site script no site do Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da internet da instituição, o “bradesco.com.br”. Além disso, dava a eles o poder de enviar avisos falsos que induziam ao download de vírus, ou consultar dados bancários da vítima sem usar qualquer credenciais de acesso, como agência, conta ou senha.
O problema foi comunicado a Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A UOL consultou a empresa especializada em segurança cibernética PSafe, que constatou se tratar de algo grave. Avisado pela UOL, dia 08 de novembro, o Bradesco rapidamente desativou a página defeituosa.
Segundo a UOL, os testes realizados apontam que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais“.
O pesquisador mateus Gomes disse ao UOL que já havia identificado uma falha semelhante em um site da Caixa Econômica Federal destinado ao Fundo de Financiamento Estudantil (Fies), quando tentava cancelar seu próprio financiamento. Ele afirmou que avisou a plataforma Open Bug Bounty, site de pesquisadores independentes de vulnerabilidades na internet, que confirmou o problema e emitiu um relatório. Mateus disse que tentou contato com a Caixa para avisar sobre o problema mas não obteve resposta.
Após isto passou a procurar falhas semelhantes em outras instituições financeiras, até que encontrou em uma das páginas do Bradesco, em um subdomínio de “bradesco.com.br”. Segundo ele, essas páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Do ponto de vista do conteúdo, esses subdomínios são geralmente destinados a abrigar subáreas ou serviços específicos dentro do site principal. A página que continha o erro era o subdomínio “www.edi7.bradesco.com.br”, destinada a funcionários do Bradesco.
A brecha de segurança identificada por Gomes do tipo Cross Site Script ou XSS onde cibercriminosos poderiam fazer modificações na página em que o usuário do banco estivesse sem que ele notasse. Essas alterações poderiam ser coisas simples, como incluir mensagens falsas, ou mais complexas e perigosas, como: inserir uma página inteiramente falsa sob o domínio “bradesco.com.br”, destinada a roubar os cookies salvos com as credenciais de acesso da vítima (agência, conta bancária e senha); indicar o download de um arquivo malicioso disfarçado de um programa verídico; “clonar” em outra aba uma sessão iniciada legitimamente pelo cliente do banco no Internet Banking.
Fonte: UOL
Veja também:
- O Facebook por estar acessando secretamente a câmera do seu iPhone
- Reconhecimento facial ameaça direitos básicos de privacidade
- Segurança da informação: Você pode saber quanto custa ter na sua empresa, mas não queira descobrir quanto custa não ter!
- Microsoft alerta para cuidados com os ataques BlueKeep
- Hackers do Titanium APT injetam novo backdoor fileless oculto no Windows
- Antivírus Gratuitos são ameaças para usuários
- Funcionário da Trend Micro vendeu dados de consumidores à scammers
- Plataforma Meu Vivo expõe dados de milhões de clientes
- Malware Android ‘irremovível’ infectou 45 mil telefones
- Everis e outras empresas espanholas sofrem ataque de ransomware
- Cartórios de SP expõe dados de 1 milhão de pais, mães e filhos
- Samsung corrige a falha do leitor de impressão digital Galaxy S10
Deixe sua opinião!