Uma falha estrutural presente em um dos sites da Caixa Econômica Federal permite que qualquer criminoso obtenha, com relativa facilidade, acesso total aos dados do Fundo de Garantia por Tempo de Serviço (FGTS) e do Programa de Integração Social (PIS) de qualquer brasileiro. O problema foi denunciado com exclusividade à The Hack pela pesquisadora Sofia Marshallowitz, que encontrou o erro de forma acidental e realizou testes devidamente autorizados com dados de pessoas próximas.
A vulnerabilidade em questão reside em uma página da Caixa feita especificamente para que o cidadão possa consultar seus benefícios trabalhistas, sendo um sistema separado do internet banking principal da instituição bancária. No momento da autenticação do usuário — que pode ser feita via email, CPF ou Número de Identificação Social (NIS) —, o invasor pode solicitar o reset da senha, se passando pelo trabalhador que esqueceu qual é a password utilizada para logar no site.
O detalhe é que o banco não solicita qualquer tipo de token para efetuar o cadastramento de uma nova senha: tudo o que é preciso fazer é informar o nome completo, nome da mãe, data de nascimento e RG da vítima (informações fáceis de serem encontradas na web, seja através da consulta em bancos de dados vazados ou “raspagem” de redes sociais). A nova senha é definida na hora e o invasor obtém acesso ao painel que deveria ser sigiloso.
Para Sofia, a brecha pode ter nascido de uma decisão da própria Caixa, que preferiu simplificar o processo de reset para “facilitar” a vida de quem não tem muita experiência com sistemas web. Porém, ela nota que as consequências dessa escolha podem ser desastrosas. “Entendo que eles devem ter feito isso por conta de usuários mais leigos em acesso à internet. Mas, por outro lado, esse tipo de coisa deixa exatamente esse usuário leigo mais vulnerável a golpes e fraudes”, explica.
Explorando a falha
A The Hack realizou testes autorizados, com cidadãos que concordaram em ceder suas informações para fins de apuração, e constatou o quão simples é realizar o reset de senha de terceiros.
Em poucos minutos, fomos capazes de adentrar no sistema se passando por um trabalhador e obter acesso a uma série de dados privilegiados, incluindo saldo do FGTS e do PIS, extrato dos benefícios, situação do Seguro Desemprego, calendário de saque e detalhes cadastrais (empregador, Número de Identificação Social, número da carteira de trabalho, contas do FGTS, movimentações etc.).
Mais do que simplesmente consultar as informações, o painel também permite cancelar o saque automático do FGTS e a realização de alterações cadastrais, como mudança no email, telefone e endereço do beneficiário — edições que podem causar dores de cabeça em futuras confirmações de dados.
A descoberta dessa vulnerabilidade vem em um momento inoportuno: faltam poucos dias para que a Caixa comece a liberar o saque imediato em contas ativas e inativas do FGTS. Quem tiver até R$ 500 na conta poderá retirar o valor em qualquer agência da rede bancária a partir do dia 13 de setembro, desde que respeite o calendário divulgado pela instituição e apresente um documento de identificação. Por conta disso, é notável o aumento no volume de golpes e fraudes online envolvendo o resgate desse benefício.
Tal facilidade em resetar a senha de terceiros pode ser usada por criminosos de duas formas distintas: primeiramente, em uma campanha de phishing direcionada a coletar os dados necessários para requisitar uma nova password; posteriormente, em uma segunda campanha maliciosa altamente customizada, que utilize informações roubadas do painel (nome do empregador, saldo disponível etc.) para obter vantagem financeira contra a vítima. Temos, assim, uma cadeia de ataques envolvendo três etapas distintas.
A resposta da Caixa
Notificada pela The Hack no início da semana passada a respeito do problema, a Caixa Econômica Federal não se mostrou disposta a corrigir o problema. Confira o brevíssimo (e insatisfatório) comunicado oficial da instituição:
“A Caixa utiliza os mais modernos recursos para garantir a segurança de informações dos clientes e adota medidas permanentes para inibir ações de fraudadores.”
No momento em que esta reportagem foi escrita, o site em questão passava por instabilidades — um possível fruto de uma tentativa de invasão sofrida pela companhia na quarta-feira (14), quando criminosos obrigaram o banco a derrubar partes de seus sistemas. Contudo, curiosamente, a URL usada para acessar o painel segue funcionando perfeitamente em dispositivos móveis.
Por mais que seja fácil encontrá-lo, como forma de desestimular a exploração da vulnerabilidade — que poderá ou não ser corrigida em um futuro breve —, a The Hack decidiu não divulgar o endereço no qual a falha reside.