Falha no site do Banco do Brasil permitia roubo de senhas, diz equipe de cibersegurança – Portal do Bitcoin

O grupo de pesquisadores de segurança CCESS, cuja atividade é identificar e desabilitar as investidas de hackers mal intencionados em sites, descobriu vulnerabilidades de XSS Injection que afetava o site do Banco do Brasil.

Através de um XSS Injection o invasor introduz um código javascript no navegador da vítima. Desta forma, ele consegue a senha e todas as informações bancárias necessárias para movimentar os saldos das contas.

“Apesar de termos avisado eles, houve uma boa dose de desatenção e demora para corrigirem”, disse um membro da equipe em rede social no sábado (19).

Ele relatou como foi a ação que detectou a ‘brecha’ no site ‘bb.com.br’ que poderia afetar os usuários.

“Nesse tipo de falha conseguimos injetar código, mesmo dentro de uma página oficial da empresa, reparem que o certificado SSL é o mesmo, cadeado verde, tudo aparentemente certo, mas o código em si é injetado”.

Ao comentar o caso em uma comunidade no Facebook, o pesquisador lembrou que falhas como esta já foram detectadas nas exchanges de criptomoedas Braziliex, Foxbit e Mercado Bitcoin, e classificou o XSS Injection como muito perigoso.

De acordo com o Mundo Hacker, um dos integrantes do grupo disse que após encerrarem os vários testes que comprovaram a vulnerabilidade, mesmo já com as informações em mãos — considerando que o Open Bug Bounty avisa as instituições — o banco levou meses para corrigir o problema.

A falha foi registrada na plataforma pela primeira vez em maio de 2018 e novamente em julho do mesmo ano.

O Banco do Brasil corrigiu a falha somente nessa semana e, mesmo assim, não divulgou nenhuma nota sobre o ocorrido a seus clientes.

“A gente coloca a falha lá, o Open Bug Bounty verifica se é verdadeira, determina um risco, aí manda email para o banco com informações para entrar em contato com a gente para a correção”, disse um dos membros do CCESS ao Portal do Bitcoin via Whatsapp.

Ele ressaltou que, passados 90 dias, a falha de segurança é publicada, mesmo se a instituição ainda não tiver corrigido.

“Eles mandam para todos os emails da empresa, de CSIRT (grupo técnico), de abuse, então com certeza o banco recebeu o alerta, só não se importou”, relatou.

Apesar do XSS Injection afetar um subdomínio da plataforma do banco, permite também atacar outros endereços dentro do domínio ‘bb.com.br’, relata o site. Essa facilidade se dá pelo fato de existir, habitualmente, comunicações dentro do mesmo sistema.


BitcoinTrade

Baixe agora o aplicativo da melhor plataforma de criptomoedas do Brasil. Cadastre-se e confira todas as novidades da ferramenta, acesse: www.bitcointrade.com.br

O post Falha no site do Banco do Brasil permitia roubo de senhas, diz equipe de cibersegurança apareceu primeiro em Portal do Bitcoin.

Fonte Oficial: Portal do Bitcoin.

Os textos, informações e opiniões publicados neste espaço são de total responsabilidade do(a) autor(a). Logo, não correspondem, necessariamente, ao ponto de vista do World Câmbio.

Comentários

você pode gostar também

Quer fazer parte de nosso grupo?

Inscreva-se em nossa newsletter!