Uma vulnerabilidade no site da Caixa Econômica Federal permitia que hackers alterassem a URL na barra do domínio. Dessa maneira, códigos maliciosos poderiam ser injetados e enviados para clientes do banco. Diversos tipos de golpes poderiam ser aplicados com a ação, entre eles, o roubo de todos os dados bancários e pessoais de vítimas. O banco agiu rapidamente comunicando que "identificou a inconsistência" no site e que corrigiria a brecha no mesmo dia que foi informado. A brecha foi descoberta pelo desenvolvedor web Lincoln Brito, que deixou claro a tentativa de contatos anteriores com o banco, mas não havia tido sucesso. "A brecha que descobri permite que o site da Caixa receba código via Query String e o imprima na tela sem passar antes por sanitização. Aparentemente afeta somente o Chrome. O sub-domínio afetado é o sifge, usado na emissão de certidão de regularidade do FGTS", explicou Brito. "Para explorar a brecha, coloquei cada parâmetro em uma linha para visualizar melhor, testando com a variável VARCEP e adicionando um código HTML que cria um overlay com um link para o instalador do Teamviewer. Testei no Google Chrome, Microsoft Edge, Internet Explorer e Firefox, mas apenas o Chrome permitiu a exibição do conteúdo".
Comentários