Como hackers roubaram 200.000 ou mais "Citi Accounts" apenas mudando a URL

Ultimamente os problemas relacionados com segurança da informação na Web têm estado em evidência. Fazendo uma rápida retrospectiva, tivemos os ataques à PSN, aos sites da Sony Music, da Sony Pictures e de cadastro de senha da PSN. Agora a nova vítima foi o banco CitiBank, que viu os dados de mais de 200.000 contas serem roubados devido a um sistema de segurança precário e infantil.

Detalhes de como os hackers roubaram o CitiBank foram revelados e parece ser algo bem mirim.

Resumidamente, a falha funcionava assim:

• Um usuário possuia um login/conta no banco e fazia uso do serviço online de Homebanking
• A URL referente ao usuário era por exemplo citibank/user/1234
• O usuário alterava esta url para citibank/user/123456
• O usuário de Identificador 1234 tinha acesso total a informações do usuário 123456

Partindo então deste princípio, "hackers" (ou melhor dizendo, crackers) fizeram scripts bastante simples que faziam esta troca de URL's, roubando dados de milhares de correntistas. Muitas pessoas tem a fé de que este tipo de erro em um sistema é uma coisa banal/primária ou até mesmo REALMENTE ESTÚPIDA, mas aconteceu, parceiro, e o pior de tudo: em um Banco. ¬¬

E juntamente com este show de n00bice por parte dos sysadmins/analistas do banco, uma outra notícia apenas reforça o estrago feito no CitiBank: o banco entratá em contato com os usuários afetados para que os dados dos cartões de crédito não sejam utilizados em transações.

Em contraponto, alguns "hackers" afirmaram que a criptografia 128-bits do site "não é lá grandes coisas" e disseram que se o CitiBank não buscar uma solução definitiva, outra falha será explorada no tempo de 1 semana.


[Fontes: nytimes, consumerist.com]