Fraude ou falha? 4 análises sobre o roubo de R$ 30 milhões

Paulo Brito
07/05/2020

Hipótese 1: falha técnica, análise da Elytron

O CISO Advisor consultou os especialistas da Elytron sobre uma hipótese para o furto e eles disseram que “ousaríamos arriscar a possibilidade de que isso tenha sido feito por falha técnica. Só assim para explicar: como sai dinheiro da conta da Gerdau numa operação da Mundial Iluminação?” Segundo eles, a vulnerabilidade explorada pode ter sido um “Insecure direct object reference”. Ou IDOR: “O que nós achamos que aconteceu: o cara entrou legitimamente. Ele tinha o acesso e domínio nessa conta da Mundial, que possivelmente fosse até uma conta fria, preparada para isso, com CNPJ comprado”.

Os especialistas continuam: “Tanto que antes fizeram uma transação alta para gerar bloqueio e poder então pedir ao banco para desbloquear. E pedir aumento de limites. Eles tinham todos os dados da Mundial em mãos. Foram lá, ligaram na URA, o banco liberou. Provavelmente existe um campo na hora de finalizar aquela TED – na propria conta da Mundial”. E nesse campo pode estar a falha, opinam os especialistas.

“Se você inspeciona as requests HTTP, é muito provável que em alguma delas, no momento do fluxo de transferência exista um campo hidden com os dados. Mas usando aí um Burp Suite por exemplo você faz a interceptação e vê tudo. Na user interface a Mundial ou qualquer outro cliente só coloca o valor e o destinatário. Mas talvez nesse pacote HTTP estejam tambem esses campos escondidos, incluindo um que diga de onde está saindo o dinheiro”, analisam os especialistas da Elytron.

“E isso acontece bastante”, continuam. “Em muitos sistemas a gente pega esse tipo de vulnerabilidade. O que o cara faz: ele troca os dados. O dinheiro sai da Mundial e vai para não sei quem no valor ‘xis’. No preenchimento do formulário só tem o valor e para quem o dinheiro vai. Mas na requisição HTTP tem os dados que dizem de onde o dinheiro está saindo. Só que o cara vai lá e troca. Se está saindo da Mundial ele coloca saindo da Gerdau. Às vezes, quando pede a senha e quando pede o token, o banco testa a senha da Mundial, o token da Mundial, que já estavam na mão dos atacantes, Eles colocam a senha que conhecem, colocam o token do celular que eles têm, e enviam essa conexão HTTP. O sistema do banco processa, aprova”.

Na continuação da análise os especialistas concluem que o por alguma razão o backend do banco aprova a transação: “A gente podia chamar isso de uma falta de controle de acesso. O usuário Mundial não deveria poder mexer em outra conta, mas tem uma falha de segurança que permite que ele faça isso. É uma falha muito comum. Todo sistema tem, inclusive em empresas muito grandes. Os bancos são muito ativos, mas em tecnologia não são tudo o que parecem. É dificil garantir que uma falha dessa não vá para o ambiente de produção. O programadores simplesmente esquecem de fazer as proteções”, conclui.

Compartilhar: