ÚLTIMAS NOTÍCIAS:

Transporte Ilegal de Mercúrio Interceptado pela PRF em Vitória da Conquista

Beto Bonelly declara apoio a Fabrício Abrantes na disputa pela Prefeitura de Brumado

Última etapa de campanha para vacinação contra aftosa na Bahia começa nesta segunda

Incêndio atinge fábrica de produtos artesanais em Guanambi

Feriado de Páscoa promete ser chuvoso na para Bahia, aponta Inmet

Bahia tem 2º maior no número de divórcios no Brasil; números de casamentos caem

Aracatu: PM recupera veículo com restrição de roubo

Brumado: Pai ameaça filho de 13 anos com pedaço de pau e é detido pela PM

Inscrições para a 25ª edição da Corrida Ecológica Brumado a Rio de Contas já estão abertas

Escritório Malaquias Advogacia e Assessoria Jurídica estará em novo endereço a partir de abril; confira

Brumado: Após decisão da Justiça, quase 50 beneficiados com prisão domiciliar vão cumprir pena em casa por tempo integral

Familiares de presos protestam contra suspensão de visitas e apontam opressão no Conjunto Penal de Brumado

Conselho aprova uso do FGTS Futuro para compra da casa própria

Brumado: Homem acumula embalagens de remédios há 30 anos em sua residência

Suspeito de liderar organização criminosa na Bahia é preso em Minas Gerais

Empresária morre vítima de latrocínio em Cândido Sales; ela estava no sítio da família

Moradores do Bairro Novo Brumado enfrentam há 30 anos problemáticas com galeria pluvial

Vacinas contra dengue vencem em 30 de abril, mas encalham nos postos de saúde

Após polêmica com o recém chegado diretor do Conjunto Penal de Brumado, Seap designa policial penal para o cargo interinamente

Março Azul Marinho - Coloproctologista da Clínica Mais Vida alerta sobre a importância da prevenção contra o câncer colorretal


Brecha no site da CAIXA deixava hackers enganarem clientes do banco

Foto: Luciano Santos l 97NEWS

Uma vulnerabilidade no site da Caixa Econômica Federal permitia que hackers alterassem a URL na barra do domínio. Dessa maneira, códigos maliciosos poderiam ser injetados e enviados para clientes do banco. Diversos tipos de golpes poderiam ser aplicados com a ação, entre eles, o roubo de todos os dados bancários e pessoais de vítimas. O banco agiu rapidamente comunicando que "identificou a inconsistência" no site e que corrigiria a brecha no mesmo dia que foi informado. A brecha foi descoberta pelo desenvolvedor web Lincoln Brito, que deixou claro a tentativa de contatos anteriores com o banco, mas não havia tido sucesso. "A brecha que descobri permite que o site da Caixa receba código via Query String e o imprima na tela sem passar antes por sanitização. Aparentemente afeta somente o Chrome. O sub-domínio afetado é o sifge, usado na emissão de certidão de regularidade do FGTS", explicou Brito. "Para explorar a brecha, coloquei cada parâmetro em uma linha para visualizar melhor, testando com a variável VARCEP e adicionando um código HTML que cria um overlay com um link para o instalador do Teamviewer. Testei no Google Chrome, Microsoft Edge, Internet Explorer e Firefox, mas apenas o Chrome permitiu a exibição do conteúdo".

 

O que tudo isso significa de maneira simples? Um hacker poderia modificar a URL original injetando código falso na página (Foto: Reprodução)

Segundo o desenvolvedor, um atacante poderia usar a URL modificada na CAIXA enviando via email ou WhatsApp, por exemplo. Dessa maneira, a vítima acreditaria que o link enviado seria genuíno. O motivo? Muitos especialistas de segurança ainda recomendam a checagem do "HTTPS" (cadeado ao lado do endereço) como único parâmetro de um domínio seguro, e isso está errado, em partes. Porque o cadeado é um dos parâmetros, mas muitos sites fraudulentos também contam com o protocolo. A prevenção é o caminho: não aceite links de contatos desconhecidos ou recebidos via email e WhatsApp. Sempre que você precisar mexer com seus dados bancários ou sua conta, vá até os sites oficiais por conta própria ou busque ajuda nos perfis oficiais em redes sociais.



Comentários

    Nenhum comentário, seja o primeiro a enviar.

Deixe seu comentário