Brecha de segurança no site da Caixa permitia acesso a documentos internos

Uma brecha de segurança no site da Caixa poderia entregar exatamente o que é preciso para que hackers realizassem ataques de phishing e engenharia social contra funcionários e empresas parceiras da instituição. As informações apareciam em uma página interna de administração do domínio do banco, que poderia ser acessada por qualquer pessoa sem a devida autenticação.

• Ataques a home office, ransomwares e dados íntimos são focos de ameaça para 2021
• Como agir após cair em um golpe cibernético?
• Engenharia social: o que é e como não ser vítima?

O espaço trazia uma lista de todas as páginas que compõem a presença online da instituição, aos moldes dos velhos mapas de sites que eram usados na internet há alguns anos. Mais grave, entretanto, eram as listagens de documentos internos que também apareciam na página, assim como as URLs de interfaces de administração dos domínios da Caixa e endereços dos backups de dados realizados pela empresas. Tais páginas sensíveis, felizmente, não podiam ser acessadas diretamente, o que indica não ter existido exposição de dados confidenciais e sensíveis de funcionários, clientes e parceiros da instituição.

Ainda assim, a exposição de nomes de arquivo e endereços que deveriam estar restritos representa um risco de segurança. De acordo com Mateus Gomes, técnico em redes e responsável por relatar a falha ao Canaltech, a brecha poderia dar origem a diferentes golpes direcionados. “Por se tratar de uma página interna, seu uso daria mais legitimidade para uma campanha de phishing, [visando] o recolhimento de credenciais dos funcionários da instituição financeira”, explica.

Além disso, a partir do sistema, hackers poderiam ser capazes de localizar outros diretórios eventualmente expostos, baixando possíveis informações sensíveis de forma massiva, com o uso de sistemas automatizados. Gomes ressalta, por exemplo, a revelação dos endereços de backups da Caixa e, também, informações do servidor utilizado pela instituição. “[Caso] a versão do software estiver obsoleta, isso permitiria a exploração de falhas de segurança ainda mais graves e já conhecidas”, completa.

Falhas desse tipo, relacionadas ao controle inadequado no acesso a informações e páginas internas, são comuns em sistemas web protegidos por credenciais como e-mail e senha. Em alguns casos, páginas internas podem acabar desprotegidas por erros de configuração, revelando, sem as devidas credenciais, aquilo que somente deveria aparecer após um login bem-sucedido. Segundo Gomes, entre os mecanismos para evitar esse tipo de falha estão a verificação de autenticação contínua pelos servidores ou o uso de listas de IPs para autorizar ou restringir o acesso.

O que diz a Caixa?

O Canaltech foi notificado sobre a brecha na última sexta-feira (04) e entrou em contato com a Caixa na mesma data. O ambiente foi retirado do ar dois dias depois, na segunda-feira (08), com os endereços, listagens e mapa do site do banco não mais disponível para visualização pública. Não é possível, entretanto, saber se a página foi acessada por terceiros ou explorada para o download de informações.

Em resposta à reportagem, a Caixa informou que as informações que aparecem no site indicado pelo Canaltech são públicas e referentes a produtos ofertados pela instituição, assim como publicações sobre a própria companhia. Ainda assim, a empresa relatou a exclusão do ambiente como forma de “concentrar o acesso às informações institucionais nos canais já conhecidos” e reforçou seu compromisso com a segurança e a confiabilidade de seus serviços.

Confira a nota na íntegra:

A CAIXA agradece pela colaboração e esclarece que as informações que constam na URL são públicas e armazenadas no site do banco, onde constam esclarecimentos sobre os produtos ofertados pela CAIXA e demais informações institucionais da empresa. Para evitar equívocos e concentrar o acesso às informações institucionais do banco nos canais de informação já conhecidos, a referida página foi excluída. Por fim, a CAIXA reafirma o seu compromisso em garantir a segurança e confiabilidade dos serviços prestados.

Engenharia social

A recomendação de segurança na exposição de informações confidenciais é para que clientes, usuários e, neste caso, funcionários e parceiros comerciais fiquem atentos às tentativas de golpe via e-mail ou telefone. De posse dos nomes de arquivos ou outros dados que não deveriam ser públicos, os criminosos podem tentar se passar por gerentes ou colegas de trabalho para obterem credenciais ou outros mecanismos de acesso às redes internas.

O ideal é não clicar em links ou abrir arquivos anexos que cheguem desta maneira, a não ser que o usuário tenha absoluta certeza de se tratar de uma comunicação legítima — na dúvida, busque outra forma de contato. Além disso, é importante manter sistemas operacionais atualizados e softwares de segurança funcionando, já que eles são capazes de detectar e bloquear tentativas de intrusão mais comuns.