Os plugins de segurança são utilizados pelos bancos para garantir mais segurança aos usuários durante o acesso de suas contas pelo internet banking. Ironicamente, no entanto, uma falha em um dos principais mecanismos deste tipo está expondo dados pessoais de usuários na internet.

Chamado de Warsaw, o plugin defeituoso em questão é utilizado por empresas como Caixa Econômica Federal, Banco do Brasil e Itaú. A falha permite que criminosos utilizem a tecnologia para instalar um malware que enganaria o internauta fazendo-o ceder seus dados para hackers.

Reprodução

A artimanha funciona por meio de um código em JavaScript que rouba informações do Warsaw. Dessa forma, o hacker consegue identificar qual o banco utilizado pela sua vítima e, de posse dessa informação, criar uma página falsa praticamente idêntica ao do banco. Assim, caso não perceba, o usuário poderá digitar seus dados bancários em um site que serve apenas para roubar informações.

publicidade

O responsável por descobrir esta falha chama-se Joaquim Espinhara. Consultor de segurança, ele detalhou o problema à fabricante do plugin, a empresa GAS Tecnologia, mas não obteve qualquer resposta da companhia.

Além dos já citados, outros bancos que também utilizam a tecnologia são: Safra, Banese, Sicredi, Banco do Nordeste, Banco de Brasília e Banco da Amazônia.

Vale lembrar que essa não é a primeira vez que o Warsaw sofre criticas. Em 2015, uma atualização no serviço impossibilitava o acesso a sites como Facebook, Google, UOL, entre outros. Outro destaque negativo é que o plugin não é mais aceito nas últimas versões do Chrome.

Em nota enviada ao Olhar Digital após a publicação desta reportagem, a empresa afirma que o problema já havia sido identificado pelos técnicos responsáveis e que a solução foi implantada na última versão do Warsaw. A GAS Tecnologia também afirma que a atualização impossibilita que os computadores dos usuários sejam invadidos devido ao problema constatado.

Atualizado em 9/5/2016, às 11h56.

Via Tecnoblog