Uma vulnerabilidade no site da instituição financeira Caixa Econômica Federal permitia o vazamento do token de sessão de usuários. Segundo denúncia do pesquisador de segurança Heitor Gouvêa, recebida pelo TecMundo, o site também poderia ser atacado via “open redirect” e até redirecionar o cliente do banco para um ambiente malicioso com URL e sessão genuínas dentro da própria Caixa.
Dados acessíveis envolviam CPF, nome completo, FGTS e extrato bancário completo
Por meio deste ataque, um cibercriminoso ainda obtém informações privadas de clientes, como: CPF, nome completo, empresa associada, carteira de trabalho, conta FGTS, número PIS/PASEP, data de admissão e extrato bancário completo. O endereço residencial, com número, complemento, bairro, localidade, UF e CEP também poderia ser acessado.
“Um atacante determinado pode explorar as vulnerabilidades mencionadas com muita facilidade e assim violar a confidencialidade de diversas contas de usuários legítimos, acessando informações confidenciais e em alguns casos também violar a integridade de algumas informações específicas”, comentou o pesquisador Gouvêa ao TecMundo. “O esforço para realizar essa exploração é relativamente pequeno e simples, porém a superfície de alcance deste ataque é extremamente grande”.
Contatada na última terça-feira (07), a Caixa respondeu em nota via assessoria que a vulnerabilidade já foi corrigida: “A CAIXA agradece pela colaboração e esclarece que a vulnerabilidade identificada foi corrigida. O banco reafirma o seu compromisso em garantir a segurança e confiabilidade dos serviços prestados”.
A vulnerabilidade
Na página de autenticação da Caixa — em que as credenciais de usuário eram solicitadas — um parâmetro na URL (&redirect_uri=), se alterado, permitia levar um cliente para outro site
“Para minha surpresa, não fui apenas redirecionado para a página durante meu teste, além disso, durante o redirecionamento, foi enviado um outro parâmetro. Podemos ver isso na URL: https://google.com/?code=e629bd01-00cd-4b67-8f5d-f7fc50c2a9c7. Esse conteúdo no parâmetro “?code=” despertou minha curiosidade. Entendendo um pouco mais da solicitação original, consegui concluir que o valor desse parâmetro se trata de um Token de Sessão”, comentou Heitor Gouvêa. “Quando entendi isso, ficou evidente que essa vulnerabilidade era ainda mais crítica do que aparentava, afinal, o usuário poderia ser redirecionado para uma URL maliciosa, onde um atacante tivesse total controle sobre ela e capturar o Token de Sessão. Com isso poderia acessar a conta desse usuário, e assim, violar a confidencialidade dos seus dados e a integridade dos mesmos”.
O pesquisador deixou claro que não era necessária uma habilidade técnica alta e que a exploração era “relativamente pequena e simples”
A ideia do pesquisador, desde o primeiro contato com o TecMundo, foi a resolução do problema. Por isso, foi desenvolvido um código teste responsável por capturar e armazenar os tokens de sessão enviados para a URL maliciosa como demonstração. Segundo o pesquisador, o código provou que era possível “capturar o Token de Sessão e armazenar em um arquivo de log, além do script redirecionar o usuário mais uma vez, sendo que desta vez ele vai para a URL verídica e tem uma sessão genuína no sistema da Caixa Federal. Sendo assim, dificilmente um usuário comum vai conseguir saber que está sendo enganado”.
Por desde código, ainda, outras informações do cliente poderiam acabar expostas. No caso, o IP do usuário e o UserAgent do navegador, oferecendo detalhes como sistema operacional utilizado, tamanho de tela etc.
De acordo com Heitor Gouvêa, um cibercriminoso teria a capacidade de explorar as vulnerabilidades com “muita facilidade” e assim violar a confidencialidade de diversas contas de usuários legítimos, “acessando informações confidenciais e em alguns casos também violar a integridade de algumas informações específicas”.
O pesquisador deixou claro que não era necessária uma habilidade técnica alta e que a exploração era “relativamente pequena e simples, porém a superfície de alcance deste ataque é extremamente grande”.
Cupons de desconto TecMundo:
Fonte: Tecmundo
