O Clube dos Macacos (CDM) orgulhosamente apresenta... .:[CEF USERNAME BruteForce]:.
Como todos ja sabem, o sistema de InternetBank da Caixa Economica Federal (CEF) possui varias vulnerabilidades. Uma delas, permite que atacantes efetuem ataques do tipo "BruteForce" para descobrir nomes de usuario validos. Alem disso, tambem e possivel obter o nome completo de correntistas, fazendo com o que o todo o sistema de cadastramento de computadores va por agua abaixo. .: Prova de Conceito (PoC) :. Logue em uma conta da CAIXA (USUARIO e SENHA), apos isso, sem encerrar a seçao, entre com um novo USUARIO (teste com usuario valido). Note que o sistema nao pedira uma senha. Sera aberto a conta da primeira seçao com o nome completo do correntista da segunda seçao (caso o USERNAME seja valido). VIDEO DE DEMONSTRAÇAO EM: http://rapidshare.com/files/148315828/CEF.BruteForce.PWNED.zip.html (.avi file) .: Conclusao :. Com isso pode-se pegar os dados de correntistas, efetuar ataques de "BruteForce" e etc. .: Agradecimentos :. Ao grande "hacker" brasileiro Glaudson O. Campos (Nash Leon) que sera destaque na proxima ediçao da ISTWH. NASH LEON PWNED! Ao pessoal do CDM e MOTD (inferninho, estamos de olho em voce).
_______________________________________________ Full-Disclosure - We believe in it. Charter: http://lists.grok.org.uk/full-disclosure-charter.html Hosted and sponsored by Secunia - http://secunia.com/