A noticia relata a insegurança nos sistema da CAIXA.
Leiam Abaixo:
Um ex-hacker, hoje professor e diretor da empresa Defthack, dava aula aos seus alunos e como exercício mandou que pesquisassem no Google arquivos em "txt". Para surpresa do professor todo o conteúdo do disco rígido do servidor do website da Caixa Econômica Federal (com os nomes de todos os diretórios e arquivos, no formato DOS) estava lá exposto para qualquer hacker experto fazer as maldades que desejasse.
O professor e consultor de segurança Marcos Flávio Araújo Assunção disse:
- Estava ensinando aos meus alunos a pesquisarem no Google por tipos de arquivos, planilhas, documentos, e quando mandei pesquisar por arquivos txt (texto) e coloquei os sites com GOV.BR, achei o arquivo.
Pelo twitter Marcos Flávio afirmou: "Como confiar em um banco que expõe seus arquivos no Google?"
Ele diz que mesmo que não gerasse nenhum ataque direto, esse é um tipo de informação extremamente sensível e o fato de ter ficado exposto mostra que a segurança do internet banking da instituição não é assim tão "fechada".
- O que mais pode haver se alguém pesquisar a fundo? Eu encontrei esse arquivo com uma simples pesquisa no Google.
Fonte: DEFHACK |
- Se compararmos esse arquivo a uma planta de um banco, o invasor agora saberia onde estão todos os pontos vitais, entradas, tubulações, cofres, etc. e daí para bolar um plano é um passo, avalia Assunção.
A vulnerabilidade das informações pode levar a vários tipos de ações dos hackers, entre eles uma cópia duplicada do website da CEF - por onde transitam milhares de internautas que acessam suas contas e aplicações diariamente.
As informações contidas neste arquivo dão um mapa para entender como o website e as aplicações da Caixa funcionam, pelo menos em parte. As tecnologias utilizadas, o nome dos scripts, os módulos, e isso tudo permite ataques futuros, como clonagem do site e criação de um espelho idêntico, substituição de um script ou aplicação por malware; realização de técnicas de man in the middle (sequestro), uma técnica na qual o hacker intercepta a comunicação do banco com o cliente e faz a intermediação entre os dois, obtendo a senha de acesso.
Segundo o consultor, os invasores podem, ainda, fazer "uma análise detalhada de cada um dos scripts encontrados, procurando falhas mais profundas e que, dependendo da gravidade, permitiriam o acesso ao banco de dados do sistema e às contas de todos os usuários.
Se a empresa não sabe como ocultar pastas e arquivos restritos, pode-se facilmente encontrá-los no buscador: números de cartões de crédito, planilhas de funcionários, dados de contas de banco, etc.
O professor Marcos Flávio Assunção já escreveu seis livros, o mais conhecido é o Segredos do Hacker Ético, que está na terceira edição.
Fonte: DEFHACK |
Na verdade não é uma interrupção momentânea. Correntistas da CEF estão sem acesso às suas contas online desde este fim de semana. O internet banking da Caixa está fora do ar mesmo. O correntista tenta o acesso e não consegue. Não custava nada a Caixa Econômica Federal colocar um aviso no site: "Estamos temporariamente fora do ar por motivos técnicos."
Não faz e deixa todo mundo com cara de tacho. Afinal, quem é o correntista da Caixa Econômica para exigir uma satisfação? Ué, é só o cara que paga taxas para manter o banco. Tá exigindo o que?
Link Original:
http://lucioneto.blogspot.com/2010/11/website-da-caixa-economica-vuneravel.html
0 comentários:
Postar um comentário