O grupo de pesquisadores de segurança CCESS, cuja atividade é identificar e desabilitar as investidas de hackers mal intencionados em sites, descobriu vulnerabilidades de XSS Injection que afetava o site do Banco do Brasil.
Através de um XSS Injection o invasor introduz um código javascript no navegador da vítima. Desta forma, ele consegue a senha e todas as informações bancárias necessárias para movimentar os saldos das contas.
“Apesar de termos avisado eles, houve uma boa dose de desatenção e demora para corrigirem”, disse um membro da equipe em rede social no sábado (19).
Ele relatou como foi a ação que detectou a ‘brecha’ no site ‘bb.com.br’ que poderia afetar os usuários.
“Nesse tipo de falha conseguimos injetar código, mesmo dentro de uma página oficial da empresa, reparem que o certificado SSL é o mesmo, cadeado verde, tudo aparentemente certo, mas o código em si é injetado”.
Ao comentar o caso em uma comunidade no Facebook, o pesquisador lembrou que falhas como esta já foram detectadas nas exchanges de criptomoedas Braziliex, Foxbit e Mercado Bitcoin, e classificou o XSS Injection como muito perigoso.
De acordo com o Mundo Hacker, um dos integrantes do grupo disse que após encerrarem os vários testes que comprovaram a vulnerabilidade, mesmo já com as informações em mãos — considerando que o Open Bug Bounty avisa as instituições — o banco levou meses para corrigir o problema.
A falha foi registrada na plataforma pela primeira vez em maio de 2018 e novamente em julho do mesmo ano.
O Banco do Brasil corrigiu a falha somente nessa semana e, mesmo assim, não divulgou nenhuma nota sobre o ocorrido a seus clientes.
“A gente coloca a falha lá, o Open Bug Bounty verifica se é verdadeira, determina um risco, aí manda email para o banco com informações para entrar em contato com a gente para a correção”, disse um dos membros do CCESS ao Portal do Bitcoin via Whatsapp.
Ele ressaltou que, passados 90 dias, a falha de segurança é publicada, mesmo se a instituição ainda não tiver corrigido.
“Eles mandam para todos os emails da empresa, de CSIRT (grupo técnico), de abuse, então com certeza o banco recebeu o alerta, só não se importou”, relatou.
Apesar do XSS Injection afetar um subdomínio da plataforma do banco, permite também atacar outros endereços dentro do domínio ‘bb.com.br’, relata o site. Essa facilidade se dá pelo fato de existir, habitualmente, comunicações dentro do mesmo sistema.
Por: Wagner Riggs
Fonte: Portal do Bitcoin