No dia 1º de julho deste ano, o técnico de redes Mateus Gomes acessou a página do Fundo de Financiamento Estudantil (FIES), que faz parte do portal da Caixa Econômica Federal, para cancelar o serviço, quando identificou uma falha de segurança que permitia que a página após a tela de login pudesse ser completamente alterada por um hacker e utilizada para aplicar golpes nos usuários.

A vulnerabilidade, com nome técnico XSS, ou cross-site scripting, estava presente na página de login do FIES, que reproduz o que é escrito nela na página seguinte, como o nome de usuário, por exemplo. O problema é que a página não continha proteção contra codificação maliciosa, podendo ser explorada e ser completamente remodelada, a fim de enganar os usuários solicitando dados privados que seriam enviados ao hacker e não à Caixa Econômica.

Leia mais...