Como hackers roubaram 200.000 ou mais "Citi Accounts" apenas mudando a URL
Ultimamente os problemas relacionados com segurança da informação na Web têm estado em evidência. Fazendo uma rápida retrospectiva, tivemos os ataques à PSN, aos sites da Sony Music, da Sony Pictures e de cadastro de senha da PSN. Agora a nova vítima foi o banco CitiBank, que viu os dados de mais de 200.000 contas serem roubados devido a um sistema de segurança precário e infantil.
Detalhes de como os hackers roubaram o CitiBank foram revelados e parece ser algo bem mirim.
Resumidamente, a falha funcionava assim:
- Um usuário possuia um login/conta no banco e fazia uso do serviço online de Homebanking
- A URL referente ao usuário era por exemplo citibank/user/1234
- O usuário alterava esta url para citibank/user/123456
- O usuário de Identificador 1234 tinha acesso total a informações do usuário 123456
E juntamente com este show de n00bice por parte dos sysadmins/analistas do banco, uma outra notícia apenas reforça o estrago feito no CitiBank: o banco entratá em contato com os usuários afetados para que os dados dos cartões de crédito não sejam utilizados em transações.
Em contraponto, alguns "hackers" afirmaram que a criptografia 128-bits do site "não é lá grandes coisas" e disseram que se o CitiBank não buscar uma solução definitiva, outra falha será explorada no tempo de 1 semana.
[Fontes: nytimes, consumerist.com]