O pesquisador independente de segurança Bernard Meyer anunciou ontem em seu blog ter descoberto uma grave falha de segurança no site do Santander Consumer Bank na Bélgica. Segundo ele, havia uma configuração incorreta no domínio do blog, permitindo que seus arquivos fossem indexados. Meyer explicou que “quando examinamos esses arquivos, conseguimos ver informações confidenciais, incluindo um dump SQL e um arquivo JSON que podem ser usados por hackers para enganar os clientes do Santander”.
O banco foi notificado em 15 de Abril e no dia 24 enviou a seguinte comunicação: “O incidente destacado refere-se especificamente apenas ao blog do Santander Consumer Bank Belgium. O blog contém apenas informações e artigos públicos e, portanto, nenhum dado do cliente ou informação crítica do blog foi comprometido. Nossa equipe de segurança já corrigiu o problema para garantir a segurança do blog.”
Embora a resposta do banco tenha sido quase lacônica, Meyer explicou que a falha favorece criminosos:
Quando visitamos o blog do Santander em seu domínio belga, percebemos que o ponto final www do subdomínio do blog apresentava uma configuração incorreta, permitindo que todos os seus arquivos fossem indexados pelos mecanismos de pesquisa.
Entre esses arquivos indexados, havia um chamado info.json, que parecia conter suas chaves de API do Cloudfront.
Cloudfront é uma rede de distribuição de conteúdo (CDN) criada pela Amazon. Os sites usam CDNs para hospedar arquivos grandes, como vídeos, PDFs, imagens grandes e outros conteúdos estáticos, que normalmente desacelerariam seus próprios sites. Como esses arquivos grandes são hospedados nas CDNs, os acessos aos materiais se tornam mais rápidos para os usuários.
No entanto, ele diz que se um hacker se apossar das chaves da API Cloudfront do Santander, poderá trocar o conteúdo hospedado no Cloudfront por qualquer outro conteúdo.
Por exemplo, se um documento PDF ou Word estivesse hospedado no Cloudfront, e este documento contivesse informações sigilosas – como para quais contas um cliente deveria enviar dinheiro -, o hacker poderia trocar esse documento com sua própria versão. Dessa forma, eles poderiam alterar o número da conta real para o seu e, assim, roubar o dinheiro do cliente.
O Santander é o 5º maior banco da Europa e o 16º maior do mundo. Ele tem sede na Espanha e controla aproximadamente US$ 1,4 trilhão em ativos e possui um valor de mercado total de US$ 69,9 bilhões.
