Uma falha no Bradesco identificada pelo Tilt, o canal sobre tecnologia do UOL, permitia que hackers criassem sites falsos usando o domínio oficial da internet da instituição. Além disso, era possível enviar avisos falsos que induziam ao download de vírus, ou consultar dados bancários da vítima sem precisar usar qualquer credenciais de acesso, como agência, conta ou senha.

É provável que você também goste:

Cuidado com o novo Cartão VCARD sem consulta ao SPC e Serasa!

Como encontrar agência, conta e dígito verificador no cartão da Caixa

Bancos começam a enviar dados ao Cadastro Positivo de birôs como SPC e Serasa

Falha no Bradesco permitia roubar credenciais e clonar sessões

Primeiramente, o problema foi reportado ao Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A reportagem consultou a empresa especializada em segurança cibernética PSafe, que adicionalmente constatou se tratar de algo grave.

O Banco Bradesco foi comunicado pela reportagem na última sexta-feira (08), e rapidamente desativou a página que apresentava a falha de segurança. O Bradesco também informou que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais”.

Falha foi identificada em site da Caixa

Alguns meses atrás, Gomes identificou uma falha semelhante em um site da Caixa Econômica Federal que era destinada ao FIES – Fundo de Financiamento Estudantil, quando tentava cancelar o seu próprio financiamento. Na época, ele comunicou a plataforma Open Bug Bounty, que é um site de pesquisadores independentes de vulnerabilidades na internet. Eles confirmaram o problema. Depois disso, Mateus tentou em vão, entrar em contato com a Caixa sobre o problema.

Posteriormente, ele tentou incansavelmente encontrar problemas semelhantes em serviços online de outras instituições financeiras, até que se deparou com um subdomínio de “bradesco.com.br”.

Como funciona a falha

Dessa forma, essas páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Tecnicamente, isso é normal em qualquer website. Ou seja, diversas aplicações na internet utilizam isso para trazer comodidade aos usuários. É ela que permite que um usuário, após fazer o primeiro login, não tenha que se logar novamente ao acessar uma nova página do mesmo serviço.

A brecha de segurança identificada por Gomes é chamada de cross-site scripting, ou XSS. Explicando o problema de maneira resumida, isso significa que o servidor web confia em qualquer coisa que esteja antes de ‘bradesco.com.br’. Contudo, se um subdomínio é afetado, a segurança do usuário estará comprometida. Emilio Simoni, diretor da Dfndr Lab, da PSafe, classificou como “grave” o problema descoberto por Gomes.

Como a falha no Bradesco poderia ser explorada por hackers?

A falha no site do Bradesco poderia incorrer em modificações na página por criminosos que queiram roubar dados como as credenciais de acesso da vítima, como nº da agência, conta bancária e senha, ou ainda indicar o download de programas maliciosos, ou até mesmo clonar em uma outra aba, uma sessão iniciada legitimamente pelo cliente do banco no internet banking.

Para conferir informações mais detalhadas, confira a matéria completa direto aqui neste link.

Enfim, gostou da notícia?

Então, nos siga em nossas redes sociais como o FacebookTwitter Instagram. Assim acompanhará artigos sobre bancos digitais, cartões de crédito digitais, empréstimos e tudo relacionado ao assunto de fintechs.