Falha no site do Bradesco permitia hackers modificarem a página

XSS em subdomínio expõe usuário

Falha no site do Bradesco permitia hackers modificarem a página. Falha de cross site script no site do Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da internet da instituição, o “bradesco.com.br”. Além disso, dava a eles o poder de enviar avisos falsos que induziam ao download de vírus, ou consultar dados bancários da vítima sem usar qualquer credenciais de acesso, como agência, conta ou senha.

O problema foi comunicado a Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A UOL consultou a empresa especializada em segurança cibernética PSafe, que constatou se tratar de algo grave. Avisado pela UOL, dia 08 de novembro, o Bradesco rapidamente desativou a página defeituosa.

Segundo a UOL, os testes realizados apontam que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais“. 

O pesquisador mateus Gomes disse ao UOL que já havia identificado uma falha semelhante em um site da Caixa Econômica Federal destinado ao Fundo de Financiamento Estudantil (Fies), quando tentava cancelar seu próprio financiamento. Ele afirmou que avisou a plataforma Open Bug Bounty, site de pesquisadores independentes de vulnerabilidades na internet, que confirmou o problema e emitiu um relatório. Mateus disse que tentou contato com a Caixa para avisar sobre o problema mas não obteve resposta.

Após isto passou a procurar falhas semelhantes em outras instituições financeiras, até que encontrou em uma das páginas do Bradesco, em um subdomínio de “bradesco.com.br”. Segundo ele, essas páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso.  Do ponto de vista do conteúdo, esses subdomínios são geralmente destinados a abrigar subáreas ou serviços específicos dentro do site principal. A página que continha o erro era o subdomínio “www.edi7.bradesco.com.br”, destinada a funcionários do Bradesco.

A brecha de segurança identificada por Gomes do tipo Cross Site Script ou XSS onde cibercriminosos poderiam fazer modificações na página em que o usuário do banco estivesse sem que ele notasse. Essas alterações poderiam ser coisas simples, como incluir mensagens falsas, ou mais complexas e perigosas, como:  inserir uma página inteiramente falsa sob o domínio “bradesco.com.br”, destinada a roubar os cookies salvos com as credenciais de acesso da vítima (agência, conta bancária e senha); indicar o download de um arquivo malicioso disfarçado de um programa verídico; “clonar” em outra aba uma sessão iniciada legitimamente pelo cliente do banco no Internet Banking.

Fonte: UOL 

Veja também:

 

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

5 Trackbacks / Pingbacks

  1. Falha no site do Bradesco permitia hackers modificarem a página – Neotel Segurança Digital
  2. O que falta para o Brasil avançar na área de cibersegurança?
  3. Burnout: Os impactos da má gestão de pessoas nos resultados de projetos
  4. Ransomware Ryuk força Prosegur a desativar departamento de TI
  5. Hackers ganham milhões legalmente

Deixe sua opinião!