Falha no Bradesco permitia roubar credenciais e clonar sessões

Uma falha no Bradesco identificada pelo Tilt, o canal sobre tecnologia do UOL, permitia que hackers criassem sites falsos usando o domínio oficial da internet da instituição. Além disso, era possível enviar avisos falsos que induziam ao download de vírus, ou consultar dados bancários da vítima sem precisar usar qualquer credenciais de acesso, como agência, conta ou senha.

É provável que você também goste:

Cuidado com o novo Cartão VCARD sem consulta ao SPC e Serasa!

Como encontrar agência, conta e dígito verificador no cartão da Caixa

Bancos começam a enviar dados ao Cadastro Positivo de birôs como SPC e Serasa

Falha no Bradesco permitia roubar credenciais e clonar sessões

Primeiramente, o problema foi reportado ao Tilt pelo técnico de redes Mateus Gomes, que identificou a falha. A reportagem consultou a empresa especializada em segurança cibernética PSafe, que adicionalmente constatou se tratar de algo grave.

O Banco Bradesco foi comunicado pela reportagem na última sexta-feira (08), e rapidamente desativou a página que apresentava a falha de segurança. O Bradesco também informou que “a página não tem nenhuma associação com o Internet Banking ou outros canais transacionais”.

Falha foi identificada em site da Caixa

Alguns meses atrás, Gomes identificou uma falha semelhante em um site da Caixa Econômica Federal que era destinada ao FIES – Fundo de Financiamento Estudantil, quando tentava cancelar o seu próprio financiamento. Na época, ele comunicou a plataforma Open Bug Bounty, que é um site de pesquisadores independentes de vulnerabilidades na internet. Eles confirmaram o problema. Depois disso, Mateus tentou em vão, entrar em contato com a Caixa sobre o problema.

Posteriormente, ele tentou incansavelmente encontrar problemas semelhantes em serviços online de outras instituições financeiras, até que se deparou com um subdomínio de “bradesco.com.br”.

Como funciona a falha

Dessa forma, essas páginas recebem informações do domínio original, como cookies de arquivos salvos como credenciais de acesso. Tecnicamente, isso é normal em qualquer website. Ou seja, diversas aplicações na internet utilizam isso para trazer comodidade aos usuários. É ela que permite que um usuário, após fazer o primeiro login, não tenha que se logar novamente ao acessar uma nova página do mesmo serviço.

A brecha de segurança identificada por Gomes é chamada de cross-site scripting, ou XSS. Explicando o problema de maneira resumida, isso significa que o servidor web confia em qualquer coisa que esteja antes de ‘bradesco.com.br’. Contudo, se um subdomínio é afetado, a segurança do usuário estará comprometida. Emilio Simoni, diretor da Dfndr Lab, da PSafe, classificou como “grave” o problema descoberto por Gomes.

Como a falha no Bradesco poderia ser explorada por hackers?

A falha no site do Bradesco poderia incorrer em modificações na página por criminosos que queiram roubar dados como as credenciais de acesso da vítima, como nº da agência, conta bancária e senha, ou ainda indicar o download de programas maliciosos, ou até mesmo clonar em uma outra aba, uma sessão iniciada legitimamente pelo cliente do banco no internet banking.

Para conferir informações mais detalhadas, confira a matéria completa direto aqui neste link.

Enfim, gostou da notícia?

Então, nos siga em nossas redes sociais como o FacebookTwitter Instagram. Assim acompanhará artigos sobre bancos digitais, cartões de crédito digitais, empréstimos e tudo relacionado ao assunto de fintechs.

Eduardo Mendeshttps://seucreditodigital.com.br/author/mendes/
Sou um entusiasta da tecnologia, que também aprecia inovação, empreendedorismo, além de Fintechs e as suas facilidades. Graduado em Administração de Empresas pela Universidade Federal do Rio Grande do Sul. Co-Fundador do site Seu Crédito Digital.
- Publicidade -

Mais Populares

Saque do abono salarial do PIS/Pasep de até R$ 1.045 é liberado hoje (16) para mais beneficiários

Foi liberado hoje (16) o saque do abono salarial do PIS/Pasep para mais um grupo de beneficiários. Dessa vez, podem sacar o valor de...

Auxílio emergencial sumiu do Caixa Tem? O que significa TR VLT CX?

Um grande número de usuários estão preocupados com um estranho “sumiço” do dinheiro da Poupança Social Digital da Caixa. Então, ao consultar o extrato...

Trabalhador intermitente receberá parcela extra do auxílio de R$ 600. Saiba quem tem direito

O presidente Jair Bolsonaro estendeu o pagamento do auxílio emergencial de R$ 600 para empregados com contrato intermitente. Esses trabalhadores receberão uma parcela adicional...

Conheça 5 opções de franquias muito baratas no modelo home based

Nos últimos anos, e com muito mais intensidade durante a pandemia, empresas de todos os setores da economia perceberam que, em algumas situações, é...
- Publicidade -