Exclusivo | Falha no site da Seguradora Caixa expõe dados sigilosos de clientes

O sistema usado pela Caixa Seguradora para registrar a ocorrência de sinistros possui uma grave vulnerabilidade que expõe dados sigilosos de seus clientes. A falha, que pode ser facilmente explorada por qualquer criminoso para praticar golpes diversos, foi denunciada com exclusividade ao Canaltech pelo analista e desenvolvedor web Valter Ferlete, que é cliente do serviço da Caixa Econômica Federal (CEF).

Como explicado por Ferlete, a vulnerabilidade reside em um link específico de fácil acesso — que não compartilharemos por questão de segurança — usado internamente para gerenciar o processo de sinistro e armazenar os documentos digitalizados do segurado. O endereço, que é público e não requer uma senha para ser acessado, termina com uma sequência numérica que serve como identificador para um determinado consumidor.

O problema é que, ao trocar os dígitos do identificador por outros números, o internauta consegue visualizar o processo de sinistro de demais clientes, sendo capaz de acessar suas informações cadastrais e até mesmo fazer download dos documentos digitalizados, incluindo RG, CPF, carteira de habilitação (CNH) e boletins de ocorrência.

Sistema vulnerável da Caixa Seguradora (Captura: Canaltech)

Investigando a vulnerabilidade

O Canaltech passou alguns minutos estudando a falha e constatou que é muito simples de ser explorada. Em pouquíssimo tempo conseguimos acessar os formulários de sinistro de mais de quinze clientes da Caixa Seguradora, obtendo acesso total aos seus documentos. Por ser um campo obrigatório, independentemente do tipo de sinistro registrado, os arquivos mais encontrados no sistema são RGs.

RG encontrado no sistema (Captura: Canaltech)
(Captura: Canaltech)

Também encontramos comprovantes de endereço, incluindo versões digitalizadas de contas de água, luz e internet atualizadas, já que o próprio campo de upload ressalta que o documento deve ser, no máximo, de três meses atrás.

Comprovante de endereço obtido no sistema (Captura: Canaltech)

Também é comum encontrar boletins de ocorrência que, além dos dados citados anteriormente, incluem números de telefone e de celular, endereços de email e descrição completa do ocorrido.

Um boletim de ocorrência encontrado no sistema (Captura: Canaltech)

Vale a pena observar que o sistema em questão é gerenciado pela Tempo Assist, empresa que trabalha no ramo de assistência e é parceira da Caixa Seguros para oferecer esse tipo de serviço. Porém, após pesquisa, descobrimos que o site é uma espécie de solução pronta, batizada de First One e vendida pela Trend Consulting, com foco justamente no mercado de seguros.

Procurando mais informações sobre a companhia, percebemos que suas redes sociais não são atualizadas desde 2010; um indício de que ele não existe mais e, consequentemente, parou de atualizar os sistemas de seus clientes com patches de segurança.

O que a Caixa tem a dizer?

Valter afirma que encaminhou o problema à equipe da CEF na quarta-feira (11), mas, até o momento, não obteve respostas. O Canaltech também procurou a assessoria de imprensa da Caixa Seguradora, mas a empresa ainda não se pronunciou sobre o assunto. Esta matéria será atualizada assim que a companhia retornar nosso contato.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.

via Canaltech

Deixe uma resposta