Falha no site do Banco do Brasil permitia roubo de senhas, diz equipe de cibersegurança

A falha foi descoberta em maio de 2018 mas só foi resolvida neste ano (Foto: Shutterstock)

O grupo de pesquisadores de segurança CCESS, cuja atividade é identificar e desabilitar as investidas de hackers mal intencionados em sites, descobriu vulnerabilidades de XSS Injection que afetava o site do Banco do Brasil.

Através de um XSS Injection o invasor introduz um código javascript no navegador da vítima. Desta forma, ele consegue a senha e todas as informações bancárias necessárias para movimentar os saldos das contas.

“Apesar de termos avisado eles, houve uma boa dose de desatenção e demora para corrigirem”, disse um membro da equipe em rede social no sábado (19).

Ele relatou como foi a ação que detectou a ‘brecha’ no site ‘bb.com.br’ que poderia afetar os usuários.

“Nesse tipo de falha conseguimos injetar código, mesmo dentro de uma página oficial da empresa, reparem que o certificado SSL é o mesmo, cadeado verde, tudo aparentemente certo, mas o código em si é injetado”.

Ao comentar o caso em uma comunidade no Facebook, o pesquisador lembrou que falhas como esta já foram detectadas nas exchanges de criptomoedas Braziliex, Foxbit e Mercado Bitcoin, e classificou o XSS Injection como muito perigoso.

(Imagem: Reprodução)

De acordo com o Mundo Hacker, um dos integrantes do grupo disse que após encerrarem os vários testes que comprovaram a vulnerabilidade, mesmo já com as informações em mãos — considerando que o Open Bug Bounty avisa as instituições — o banco levou meses para corrigir o problema.

A falha foi registrada na plataforma pela primeira vez em maio de 2018 e novamente em julho do mesmo ano.

O Banco do Brasil corrigiu a falha somente nessa semana e, mesmo assim, não divulgou nenhuma nota sobre o ocorrido a seus clientes.

“A gente coloca a falha lá, o Open Bug Bounty verifica se é verdadeira, determina um risco, aí manda email para o banco com informações para entrar em contato com a gente para a correção”, disse um dos membros do CCESS ao Portal do Bitcoin via Whatsapp.

Ele ressaltou que, passados 90 dias, a falha de segurança é publicada, mesmo se a instituição ainda não tiver corrigido.

“Eles mandam para todos os emails da empresa, de CSIRT (grupo técnico), de abuse, então com certeza o banco recebeu o alerta, só não se importou”, relatou.

Apesar do XSS Injection afetar um subdomínio da plataforma do banco, permite também atacar outros endereços dentro do domínio ‘bb.com.br’, relata o site. Essa facilidade se dá pelo fato de existir, habitualmente, comunicações dentro do mesmo sistema.


BitcoinTrade

Baixe agora o aplicativo da melhor plataforma de criptomoedas do Brasil. Cadastre-se e confira todas as novidades da ferramenta, acesse: www.bitcointrade.com.br

Receba nossa Newsletter

Quer receber as principais notícias e análises? Coloque seu e-mail abaixo!