Topo

Falha em site da Caixa permitia que hackers enganassem e roubassem usuários

Site da Caixa tinha vulnerabilidade que expunha página a hackers - Getty Images/iStockphoto
Site da Caixa tinha vulnerabilidade que expunha página a hackers Imagem: Getty Images/iStockphoto

Gabriel Francisco Ribeiro

De Tilt, em São Paulo

30/08/2019 04h00Atualizada em 30/08/2019 08h12

Sem tempo, irmão

  • Falha no site da Caixa permitia que hackers remodelassem toda a página
  • Problema ocorria em site do Fies e foi denunciado ao Tilt por técnico de redes
  • Avisada por Tilt, a Caixa tirou o site do ar e corrigiu a vulnerabilidade
  • Especialistas dizem que falha era grave até para os antivírus barrarem

Uma falha em uma página da Caixa permitia que hackers modificassem o site para enganar usuários e, possivelmente, aplicar golpes. A vulnerabilidade estava presente em uma página do Fies (Fundo de Financiamento Estudantil) do banco brasileiro e oferecia a possibilidade de criminosos remodelarem totalmente o site.

O problema foi identificado pelo técnico de redes Mateus Gomes, que comunicou Tilt sobre a vulnerabilidade. A pedido da reportagem, a PSafe, empresa especializada em segurança cibernética, confirmou a falha e apontou que o caso era grave.

Avisada por Tilt na noite da última quarta (28), a Caixa tirou o site em questão do ar para manutenção. Ao tentar entrar na página do Fies, usuários recebiam mensagens de erro ou de manutenção. A página voltou no início da tarde desta quinta (29), com a falha corrigida, segundo averiguaram tanto Gomes quanto a PSafe.

Após o contato da reportagem, a empresa afirmou que "agradece pela colaboração e esclarece que a vulnerabilidade identificada foi corrigida tempestivamente sem prejuízo à prestação de serviços aos usuários". Além disso, a instituição financeira "reafirma o seu compromisso em garantir a segurança e confiabilidade dos serviços prestados."

O que era a falha

A vulnerabilidade estava presente na página de login da área do Fies, no site da Caixa. Essa página usava uma antiga arquitetura do site do banco e estava exposta para cibercriminosos remodelarem todo o conteúdo para aplicar golpes.

O técnico de redes Mateus Gomes percebeu a falha no dia 1º de julho, ao entrar no site para tentar cancelar seu Fies. Ele avisou a plataforma Open Bug Bounty, site de pesquisadores independentes de vulnerabilidades na internet, que confirmou o problema e emitiu um relatório. Mateus Gomes disse que tentou, em vão, contato com a Caixa para avisar sobre o problema.

A falha em questão tem o nome técnico de XSS, ou cross-site scripting. Basicamente, a página de login do site do Fies reproduzia integralmente na tela seguinte qualquer coisa que o usuário digitasse - inclusive códigos.

Por exemplo: se eu digitasse "Gabriel", a página estava programada para automaticamente responder algo como "olá, Gabriel" na tela posterior. Como não havia filtros adequados para barrar tentativas maliciosas, a página também reproduzia códigos, o que permitia ao atacante reconstruir o site com qualquer propósito.

"Quando você inseria qualquer coisa no usuário e enviasse para requisição, repetia o que estava na caixa preenchida. A partir do momento que você consegue inserir tags [em código] HTML, você pode mudar toda a interface do site para uma página falsa. Se [o criminoso] mudasse a página para uma falsa, poderia pegar suas credenciais ou fazer o que quiser", explicou Mateus.

A imagem abaixo mostra uma alteração no site da Caixa feita apenas para exemplificar a falha, com o phishing de uma suposta promoção solicitando o envio de dados dos usuários:

Falha  permitia que hackers remodelassem o site para aplicar golpes - UOL
Falha permitia que hackers remodelassem o site para aplicar golpes
Imagem: UOL

Note que o endereço-base do site (https://www3.caixa.gov.br/fies/FIES_Estudantes.asp) continua o mesmo da página correta. Assim, uma das dicas dadas para evitar golpes —checar se o endereço no navegador é realmente da página da empresa— não adiantaria

Se o usuário entrasse no site original da Caixa, ele não corria riscos. Para cair em golpes de hackers, ele teria que ser levado para uma página diferente já modificada pelo cibercriminoso por meio de phishing —como os feitos em golpes por WhatsApp ou email. A diferença, nesse caso, é que não seria um site falso copiado, mas sim a página real da Caixa remodelada, o que poderia aumentar o número de vítimas.

Vulnerabilidade era grave, diz PSafe

Avisado por Tilt, Emilio Simoni, diretor do Dfndr Lab, contou que a falha em questão é grave. De acordo com ele, por ser uma recriação em cima da página real da Caixa, os antivírus teriam dificuldades de lidar com o problema.

"Quando é uma página falsa, podemos fazer um bloqueio automático no antivírus. Nesse caso o site é o verdadeiro e poderia ser recriado de várias maneiras, ficaria difícil para os antivírus", aponta.

A PSafe não identificou nenhum hacker se aproveitando da vulnerabilidade no momento em que foi avisada.

SIGA TILT NAS REDES SOCIAIS

Mais Segurança