Brechas em sites bancários expõe milhões de dados de clientes

A Folha de São Paulo publicou hoje uma matéria referente a problemas de segurança identificados nos sites do Bradesco e Banco do Brasil, além de sites de empresas de serviço de pagamentos e de cadastro de crédito.

Não são dados detalhes técnicos sobre as vulnerabilidades, mas pelo que é possível verificar na matéria, trata-se de um problema bastante conhecido e que faz parte dos Top 10 maiores problemas de segurança em aplicações web segundo a OWASP. Trata-se do item A-4 da OWASP, “referência direta a objeto insegura”. Isto nada mais é do que um site que usa parâmetros da URL para acessar um objeto ou dado, e que permite que o usuário forje a URL para acessar outro objeto ao qual não tem direito.

Por exemplo, ao acessar o extrato bancário, a URL poderia ser algo como https://meubanco.com/contacorrente/extrato?usuario=meunome. O vazamento de informações se dá quando o site aceita que você troque os parâmetros (no exemplo, “meunome”) por outro valor e processa esta entrada, trazendo dados de outro usuário. Parece um erro trivial, mas é uma das vulnerabilidades mais comuns encontradas em aplicações web.

Isto só reforça a necessidade de verificação por entidade externa da segurança das aplicações web, tanto com testes de vulnerabilidade como na análise do código, sem esquecer no treinamento para os programadores sobre o desenvolvimento seguro de aplicações.