Página do FIES, no site da Caixa Econômica, tinha falha de segurança grave
No dia 1º de julho deste ano, o técnico de redes Mateus Gomes acessou a página do Fundo de Financiamento Estudantil (FIES), que faz parte do portal da Caixa Econômica Federal, para cancelar o serviço, quando identificou uma falha de segurança que permitia que a página após a tela de login pudesse ser completamente alterada por um hacker e utilizada para aplicar golpes nos usuários.
A vulnerabilidade, com nome técnico XSS, ou cross-site scripting, estava presente na página de login do FIES, que reproduz o que é escrito nela na página seguinte, como o nome de usuário, por exemplo. O problema é que a página não continha proteção contra codificação maliciosa, podendo ser explorada e ser completamente remodelada, a fim de enganar os usuários solicitando dados privados que seriam enviados ao hacker e não à Caixa Econômica.
Veja, abaixo, um exemplo de página modificada, que traz uma mensagem com o intuito de convencer o usuário a ceder seus dados na ânsia de resgatar um suposto prêmio:
De acordo com Gomes, ele tentou entrar em contato com o banco, mas não obteve sucesso. Ele, então, confirmou a falha junto à plataforma independente Open Bug Bounty, especializada em identificar vulnerabilidades online, que emitiu um relatório.
Com o relatório em mãos, Gomes denunciou a falha ao site Tilt, que entrou em contato com a empresa de segurança digital PSafe.
Contatada pelo Tilt, a PSafe considerou a falha como grave, uma vez que seria muito difícil, até mesmo para os antivírus, identificar a página modificada como uma tentativa de golpe.
O fato é que o hacker poderia fazer alterações na página original, mantendo seu endereço vinculado à Caixa e, dessa forma, não levantar suspeitas entre os usuários ou interferir no funcionamento dos softwares de segurança.
O Tilt avisou à Caixa sobre a vulnerabilidade na quarta-feira (28), que fez a correção na página e a colocou de volta em funcionamento na quinta-feira (29).
