Full Disclosure mailing list archives
Caixa Economica Federal (CEF) USERNAME BruteForce
From: "Empresário TecBR" <executivebr () gmail com>
Date: Thu, 25 Sep 2008 13:19:05 -0300
O Clube dos Macacos (CDM) orgulhosamente apresenta... .:[CEF USERNAME BruteForce]:. Como todos ja sabem, o sistema de InternetBank da Caixa Economica Federal (CEF) possui varias vulnerabilidades. Uma delas, permite que atacantes efetuem ataques do tipo "BruteForce" para descobrir nomes de usuario validos. Alem disso, tambem e possivel obter o nome completo de correntistas, fazendo com o que o todo o sistema de cadastramento de computadores va por agua abaixo. .: Prova de Conceito (PoC) :. Logue em uma conta da CAIXA (USUARIO e SENHA), apos isso, sem encerrar a seçao, entre com um novo USUARIO (teste com usuario valido). Note que o sistema nao pedira uma senha. Sera aberto a conta da primeira seçao com o nome completo do correntista da segunda seçao (caso o USERNAME seja valido). VIDEO DE DEMONSTRAÇAO EM: http://rapidshare.com/files/148315828/CEF.BruteForce.PWNED.zip.html (.avi file) .: Conclusao :. Com isso pode-se pegar os dados de correntistas, efetuar ataques de "BruteForce" e etc. .: Agradecimentos :. Ao grande "hacker" brasileiro Glaudson O. Campos (Nash Leon) que sera destaque na proxima ediçao da ISTWH. NASH LEON PWNED! Ao pessoal do CDM e MOTD (inferninho, estamos de olho em voce).
_______________________________________________ Full-Disclosure - We believe in it. Charter: http://lists.grok.org.uk/full-disclosure-charter.html Hosted and sponsored by Secunia - http://secunia.com/
Current thread:
- Caixa Economica Federal (CEF) USERNAME BruteForce Empresário TecBR (Sep 25)