Exclusivo | Falha em site da Seguradora Caixa expõe dados sigilosos de clientes

Por Ramon de Souza | 13 de Abril de 2018 às 11h40
photo_camera Canaltech

O sistema usado pela Caixa Seguradora para registrar a ocorrência de sinistros possui uma grave vulnerabilidade que expõe dados sigilosos de seus clientes. A falha, que pode ser facilmente explorada por qualquer criminoso para praticar golpes diversos, foi denunciada com exclusividade ao Canaltech pelo analista e desenvolvedor web Valter Ferlete, que é cliente do serviço da Caixa Econômica Federal (CEF).

Como explicado por Ferlete, a vulnerabilidade reside em um link específico de fácil acesso — que não compartilharemos por questão de segurança — usado internamente para gerenciar o processo de sinistro e armazenar os documentos digitalizados do segurado. O endereço, que é público e não requer uma senha para ser acessado, termina com uma sequência numérica que serve como identificador para um determinado consumidor.

O problema é que, ao trocar os dígitos do identificador por outros números, o internauta consegue visualizar o processo de sinistro de demais clientes, sendo capaz de acessar suas informações cadastrais e até mesmo fazer download dos documentos digitalizados, incluindo RG, CPF, carteira de habilitação (CNH) e boletins de ocorrência.

Sistema vulnerável da Caixa Seguradora (Captura: Canaltech)

Investigando a vulnerabilidade

O Canaltech passou alguns minutos estudando a falha e constatou que é muito simples de ser explorada. Em pouquíssimo tempo conseguimos acessar os formulários de sinistro de mais de quinze clientes da Caixa Seguradora, obtendo acesso total aos seus documentos. Por ser um campo obrigatório, independentemente do tipo de sinistro registrado, os arquivos mais encontrados no sistema são RGs.

RG encontrado no sistema (Captura: Canaltech)
(Captura: Canaltech)

Também encontramos comprovantes de endereço, incluindo versões digitalizadas de contas de água, luz e internet atualizadas, já que o próprio campo de upload ressalta que o documento deve ser, no máximo, de três meses atrás.

Comprovante de endereço obtido no sistema (Captura: Canaltech)

Também é comum encontrar boletins de ocorrência que, além dos dados citados anteriormente, incluem números de telefone e de celular, endereços de email e descrição completa do ocorrido.

Um boletim de ocorrência encontrado no sistema (Captura: Canaltech)

Vale a pena observar que o sistema em questão é gerenciado por uma empresa parceira da Caixa Seguros, contratada para oferecer esse tipo de serviço. Porém, após pesquisa, descobrimos que o site é uma espécie de solução pronta, batizada de First One e vendida pela Trend Consulting, com foco justamente no mercado de seguros.

Procurando mais informações sobre a companhia, percebemos que suas redes sociais não são atualizadas desde 2010; um indício de que ele não existe mais e, consequentemente, parou de atualizar os sistemas de seus clientes com patches de segurança.

O que a Caixa tem a dizer?

Valter afirma que encaminhou o problema à equipe da CEF na quarta-feira (11), mas, até o momento, não obteve respostas. O Canaltech também procurou a assessoria de imprensa da Caixa Seguradora, mas a empresa ainda não se pronunciou sobre o assunto. Esta matéria será atualizada assim que a companhia retornar nosso contato.

Atualização: 13/04 às 18h

Em contato com o Canaltech, a assessoria de imprensa da Caixa Seguradora informou que a falha não é pública, podendo ser acessada apenas por outros clientes que iniciaram o registro de sinistro junto à empresa por telefone. Além disso, o site em questão não é hospedado pela Caixa Seguradora, e sim por uma empresa parceira. A companhia também ressalta que a vulnerabilidade já foi consertada e uma camada de autenticação será adicionada. Confira o pronunciamento na íntegra:

"Esclarecemos que a fragilidade apontada na matéria não ocorreu no site da seguradora, mas em um link específico enviado por empresa parceira para acompanhamento de sinistros de uma quantidade limitada de clientes. O caso foi resolvido imediatamente. Agradecemos o alerta e ressaltamos que dispomos de mecanismos de segurança para proteção dos dados de nossos clientes."

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.