Desde 18 dezembro até ontem, o site do Santander Totta funcionou com uma vulnerabilidade que poderia ter sido usada por hackers para criarem páginas falsas e desviarem as credenciais de acesso às contas bancárias dos utilizadores.
Foi no dia 18 de dezembro que Manuel Sousa entrou em contacto, pela primeira vez, com os serviços de atendimento ao cliente do Santander Totta com o objetivo de alertar para a descoberta de uma vulnerabilidade que permite ataques de Cross Site Scripting. Na ocasião, o jovem recorreu ao serviço de atendimento que funciona por chat, que lhe respondeu que o alerta tinha sido registado e que o assunto iria ser devidamente tratado. No dia 3 de janeiro, o jovem leiriense verificou que o problema persistia – e novamente enviou um alerta através do chat do banco. Não foi a última vez que o fez: a 8 de janeiro repetiu o alerta através do chat; e no dia 26 de janeiro enviou, por e-mail, um relatório que discriminava a falha que afetava o site do Santander Totta. Apesar da sucessão de alertas, a falha que poderia ser usada para ataques de phishing apenas terá sido sanada ontem, apurou a Exame Informática.
Manuel Sousa, jovem adepto dos testes de segurança e do denominado white hat hacking não tem muitas dúvidas: «Sim, é uma falha fácil de resolver. Em 10 minutos, a falha facilmente seria corrigida».
O facto de se tratar de uma falha fácil de resolver não significa que se trata de uma falha sem gravidade. De acordo com Manuel Sousa, a falha poderia ser usada para recriar páginas similares às do site de homebanking do Santander Totta, mas que na verdade são controladas por cibercriminosos. Com estas páginas falsas, um hacker mal intencionado poderia, eventualmente, ludibriar algum cliente do banco e convencê-lo a inserir o nome de utilizador e a senha de acesso de uma conta bancária.
Estes estratagemas costumam ser usados para lançar ataques de phishing (ataques que têm o propósito de desvio de dados pessoais), que se disseminam muitas vezes através de campanhas de correio eletrónico não solicitado (ou spam). Só que no caso do Santander Totta havia uma característica diferenciadora: o hacker poderia incorporar a página que controlava dentro do site do banco – o que aumentaria exponencialmente a taxa de sucesso e capacidade de ludibriar os internautas.
Questionada sobre a falha detetada por Manuel Sousa, o gabinete de assessoria de imprensa do Santander Totta desvaloriza a ameaça: «A vulnerabilidade ora detetada por terceiros também foi detetada pelos nossos parceiros tecnológicos e considerada de risco médio/baixo, numa área de impacto mínimo, não tendo qualquer tipo de acesso a dados do banco ou dos nossos clientes».
Manuel Sousa não tem a mesma opinião e recorda que «por alguma razão, a Google paga entre 3000 e 7000 euros aos programadores que descobrem este tipo de falhas».
O jovem pré-universitário, que tem no currículo a descoberta de falhas no Portal das Finanças e já figurou no “muro da fama” dos caçadores de bugs da Google, diz não ter conhecimento de que a falha tenha sido explorada por alguém mal intencionado, mas sublinha que «as falhas XSS permitem fazer muitas coisas, entre elas, incorporar no site original uma "iframe" de um site controlado por hackers».
O Banco Santander Totta confirma que, depois dos testes finais levados a cabo no início da semana, a falha já se encontra sanada. O banco refere ainda que segue as boas práticas e efetua regularmente testes com o objetivo de detetar vulnerabilidades no seu site.
«Estes testes são efetuados por empresas especialistas, credenciadas e certificadas. Os resultados merecem sempre o respetivo acompanhamento ao mais alto nível da organização de tecnologia e segurança», acrescenta o Santander Totta, num e-mail.
Sem comentários:
Enviar um comentário