Notícias

Página do FIES, no site da Caixa Econômica, tinha falha de segurança grave

Imagem de: Página do FIES, no site da Caixa Econômica, tinha falha de segurança grave

Ramalho Lima

No dia 1º de julho deste ano, o técnico de redes Mateus Gomes acessou a página do Fundo de Financiamento Estudantil (FIES), que faz parte do portal da Caixa Econômica Federal, para cancelar o serviço, quando identificou uma falha de segurança que permitia que a página após a tela de login pudesse ser completamente alterada por um hacker e utilizada para aplicar golpes nos usuários.

Como a falha poderia ser explorada

A vulnerabilidade, com nome técnico XSS, ou cross-site scripting, estava presente na página de login do FIES, que reproduz o que é escrito nela na página seguinte, como o nome de usuário, por exemplo. O problema é que a página não continha proteção contra codificação maliciosa, podendo ser explorada e ser completamente remodelada, a fim de enganar os usuários solicitando dados privados que seriam enviados ao hacker e não à Caixa Econômica.

Veja, abaixo, um exemplo de página modificada, que traz uma mensagem com o intuito de convencer o usuário a ceder seus dados na ânsia de resgatar um suposto prêmio:

Fonte: UOL Tilt/Reprodução

De acordo com Gomes, ele tentou entrar em contato com o banco, mas não obteve sucesso. Ele, então, confirmou a falha junto à plataforma independente Open Bug Bounty, especializada em identificar vulnerabilidades online, que emitiu um relatório.

Com o relatório em mãos, Gomes denunciou a falha ao site Tilt, que entrou em contato com a empresa de segurança digital PSafe.

PSafe considerou a falha como grave

Contatada pelo Tilt, a PSafe considerou a falha como grave, uma vez que seria muito difícil, até mesmo para os antivírus, identificar a página modificada como uma tentativa de golpe.

O fato é que o hacker poderia fazer alterações na página original, mantendo seu endereço vinculado à Caixa e, dessa forma, não levantar suspeitas entre os usuários ou interferir no funcionamento dos softwares de segurança.

O Tilt avisou à Caixa sobre a vulnerabilidade na quarta-feira (28), que fez a correção na página e a colocou de volta em funcionamento na quinta-feira (29).

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *