[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Full-disclosure] Caixa Economica Federal (CEF) USERNAME BruteForce
- To: full-disclosure@xxxxxxxxxxxxxxxxx
- Subject: [Full-disclosure] Caixa Economica Federal (CEF) USERNAME BruteForce
- From: "Empresário TecBR" <executivebr@xxxxxxxxx>
- Date: Thu, 25 Sep 2008 13:19:05 -0300
O Clube dos Macacos (CDM) orgulhosamente apresenta...
.:[CEF USERNAME BruteForce]:.
Como todos ja sabem, o sistema de InternetBank da Caixa Economica Federal
(CEF) possui varias
vulnerabilidades.
Uma delas, permite que atacantes efetuem ataques do tipo "BruteForce" para
descobrir nomes de
usuario validos.
Alem disso, tambem e possivel obter o nome completo de correntistas, fazendo
com o que o todo
o sistema de cadastramento de computadores va por agua abaixo.
.: Prova de Conceito (PoC) :.
Logue em uma conta da CAIXA (USUARIO e SENHA), apos isso, sem encerrar a
seçao, entre com um
novo USUARIO (teste com usuario valido).
Note que o sistema nao pedira uma senha. Sera aberto a conta da primeira
seçao com o nome
completo do correntista da segunda seçao (caso o USERNAME seja valido).
VIDEO DE DEMONSTRAÇAO EM:
http://rapidshare.com/files/148315828/CEF.BruteForce.PWNED.zip.html (.avi
file)
.: Conclusao :.
Com isso pode-se pegar os dados de correntistas, efetuar ataques de
"BruteForce" e etc.
.: Agradecimentos :.
Ao grande "hacker" brasileiro Glaudson O. Campos (Nash Leon) que sera
destaque na proxima
ediçao da ISTWH. NASH LEON PWNED!
Ao pessoal do CDM e MOTD (inferninho, estamos de olho em voce).
_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia - http://secunia.com/