Falha simples permitiu roubo de informações de clientes do Citibank

Bastava mudar uma informação na barra de endereço do navegador.
Especialista anônimo revelou detalhes ao ‘New York Times’.

O roubo de dados que afetou 210 mil clientes do banco Citibank nos Estados Unidos e Canadá teria ocorrido por uma falha muito simples, segundo um especialista anônimo informou ao jornal “The New York Times”. A brecha estaria na falta de verificação de credenciais do usuário logado. Uma vez dentro do sistema do Citibank, com uma conta válida, era possível alterar o número da conta na URL do navegador e ter acesso as outras contas do banco.

O correto nesse caso era verificar se a conta em uso no sistema era a mesma conta das informações solicitadas. É um tipo de falha na verificação de autorização para acesso de dados – no caso, endereços de e-mail, nomes e extratos.

Para facilitar a obtenção dos dados, os hackers criaram um pequeno programa que tentava vários números identificadores de conta, capturando os dados dos resultados válidos. O banco detectou a brecha e o ataque no início de maio, mas divulgou publicamente o ocorrido na quinta-feira passada (9).

Segundo o jornal “New York Times”, que citou especialistas do FBI e do Serviço Secreto dos Estados Unidos, a invasão ao Citibank é apenas mais uma em uma tendência de ataques que buscam obter dados pessoais para fins de venda a outros hackers e viabilizar fraudes financeiras usando roubo de identidade.