Hipótese 3: falha técnica, análise do XLabs
Maurício Corrêa, Chief Technology Officer da empresa brasileira XLabs, especializada em segurança da informação, coloca também como hipótese um XSS, ou cross site scripting (script cruzado de website). “Isso é uma possibilidade: que alguém tenha encontrado e explorado uma falha no website do Banco, e enviado por meio de um link encurtado para alguém dentro da Gerdau”, explica o especialista. Na hipótese dele, “algum campo do website do banco podia estar vulnerável à injeção de códigos HTML e Javascript, dando a possibilidade de atacantes injetarem códigos maliciosos e utilizado de links encurtados que são enviados por email ou até mesmo mensagens”.
O que é cross site scripting
O cross site scripting é a exploração de uma vulnerabilidade principalmente em formulários. Ao ser disponibilidado num site na Internet, um formulário tem a finalidade de receber dados sob a forma de texto, em geral para a comunicação entre o público e o gestor do site. Ali existem campos para endereço, nome, telefone, e-mail e outros, conforme o desenvolvedor os estabeleça. No entanto, se não forem tomados os devidos cuidados (a ‘higienização’ dos dados de entrada), um hacker pode inserir no campo, por exemplo, um script que capture dados. Pode inserir também um endereço de web onde irá ler os dados capturados. Entre esses dados poderão estar logins, senhas, cookies, tokens e muito mais coisas. Os scrips podem até mesmo reescrever o conteúdo de uma página HTML, segundo os especialistas da OWASP (Open Web Application Security Project).