Banco Brasileiro invadido/Vulnerável

Tags: , , , ,

Hoje, recebi o email do @unknown_antisec dizendo que conseguiu acesso em alguns dos servidores de um grande, eu digo grande, banco brasileiro. Eis o resultado da brincadeira (dados foram editados foram removidos):

[15 tables]
+-----------------------------
---+ | dbcc_config                     | | dbcc_control                    | | dbcc_counters                 | | dbcc_dev_info                 | | dbcc_exclusions              | | dbcc_fault_params         | | dbcc_faults                      | | dbcc_operation_log        | | dbcc_operation_results  | | dbcc_reco                        | | dbcc_types                      | | def$scan$ws                   | | def$text$ws                    | | scan_ws                           | | text_ws                            | +-------------------------------+ +--------------+---------+ | Column       | Type    | +--------------+---------+ | CO_MATRICULA | char    | | NO_USUARIO   | varchar | | NU_PERFIL    | int     | +--------------+---------+ +-------------------+-----------+ | Column            | Type      | +-------------------+-----------+ | DE_ASSUNTO        | varchar   | | DE_MENSAGEM_1     | varchar   | | DE_MENSAGEM_2     | varchar   | | DE_MENSAGEM_3     | varchar   | | DE_MENSAGEM_4     | varchar   | | DE_MENSAGEM_5     | varchar   | | IC_PROCESSAMENTO  | char      | | NO_DESTINATARIO_1 | varchar   | | NO_DESTINATARIO_2 | varchar   | | NO_DESTINATARIO_3 | varchar   | | NO_DESTINATARIO_4 | varchar   | | NO_DESTINATARIO_5 | varchar   | | NO_REMETENTE      | varchar   | | TS_INSERCAO       | timestamp | +-------------------+-----------+ +----------------------+----------+ | Column               | Type     | +----------------------+----------+ | CO_CONTRATO          | varchar  | | DT_ASNTA_CONTRATO    | datetime | | DT_HORA_INCLUSAO     | datetime | | DT_VALORIZ_CREDITO   | datetime | | IC_BAIXA_DOTACAO_ORC | numeric  | | IC_CREDITO_EFETUADO  | numeric  | | IC_FISICA_JURIDICA   | numeric  | | IC_PARTICIPACAO      | numeric  | | NO_PESSOA            | varchar  | | NU_AGENCIA_VENDEDOR  | numeric  | | NU_CER_APF           | numeric  | | NU_CONTA_VENDEDOR    | numeric  | | NU_CPF_CGC           | numeric  | | NU_OPERACAO_CONTA    | numeric  | | NU_ORDEM_CADASTRO    | int      | | NU_SUBTIT_CONTABIL   | int      | | VR_CREDITO_FGTS      | decimal  | | VR_CREDITO_FINANC    | decimal  | | VR_DESCONTO          | decimal  | | VR_FGTS              | decimal  | | VR_FINANCIAMENTO     | decimal  | | VR_TP25              | decimal  | +----------------------+----------+

Sabemos que a segurança de TI dos bancos, atualmente, melhorou e muito. Não é  tão simples invadir um servidor de um banco, de forma remota e transferir uma quantia financeira X para uma conta bancária. Há rastreabilidade e o autor pode ser preso, isso sem falar nas diversas camadas de rede que a infraestrutura bancária possui até se chegar no mainframe, onde praticamente tudo é armazenado e processado.

Fiquei preocupado com a total falta de segurança deste banco e com o tipo de dados que o atacante teve acesso, será que essa instituição financeira, tão grande e de renome, não faz testes de intrusão em seu ambiente periodicamente ? Gente, ela tem que fazer, pois  é um  banco!

Veja que ele, o atacante, conseguiu subtrair toda a informação divulgada acima realizando um SQL Injection na página da impressa, feita em .asp (que não é vírus hehehe).

Alguns analistas de segurança, os mais experientes, irão falar que o atacante é um script kid. Well, o cara tem o seu mérito e não é culpa dele do banco ter dado este vacilo tão grande.

Resta saber se há mais dados ou acessos que podem ser adquiridos por este ou mais ataques, expondo assim não só o banco, mas milhões de brasileiros que possuem conta nele. Uma portinha está aberta, quem sabe o resto ?!

Dado importante: O @unknown_antisec pediu o contato do gerente de TI do banco atacado para informar sobre a vulnerabilidade e disse que nenhum dado foi roubado ou alterado, mas que sim, a vulnerabilidade existe.

COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

8 comentários em “Banco Brasileiro invadido/Vulnerável

  1. Júnior Moraes

    E esse dumpzão do sqlmap aí hahahahh.
    Mas é isso aí… Bugs existem para ser corrigidos. Parabéns ao pegador do bug… Deu sorte de ter o mérito de pegar algo grande assim. 🙂

  2. piloto

    Nenhum sistema e seguro! (FATO)
    Se o do FBI foi invadido por que não um banco!

  3. Rodrigo

    os terminais do Bradesco ficaram intermitentes durante o dia todo,é só um fato rss

  4. Victor Garcia

    Isso explica pq minha conta ta sempre zerada! E eu botando a culpa nas contas u.ú HSUEHASUEHASUE

  5. fernando

    a area “imprensa” do site da Caixa Economica Federal ficou um tempo fora do ar, e voltou “levemente” instavel, aeuueahuae

DEIXAR UM COMENTÁRIO

MENU