Roubo de Contas de Clientes do Citibank foi Feito com Simples Manipulação de URL

Cerca de 200 mil contas de clientes do Citibank foram roubadas, e esse feito pode ter ocorrido através de uma simples manipulação da URL Citibank. Especialistas em segurança disseram ao The New York Times, que os atacantes foram capazes de representar os titulares de conta real usando um simples truque.

Após efetuar login em uma conta válida, a URL para o sistema Citi Account Online contém uma seqüência de números que representa a conta do cliente. Ao mudar essa seqüência, os criminosos foram capazes de alternar facilmente entre múltiplas contas e obter informações de clientes privados. Usando um script para automatizar esse processo, houve a permissão de fazê-lo centenas de milhares de vezes.

Os atacantes teriam dito que tiveram acesso a cerca de um por cento do banco, cerca de 21 milhões de clientes de cartão de crédito na América do Norte. Os detalhes obtidos no ataque incluem nomes de clientes, números de conta e endereço de e-mail. Os criminosos não tiveram, contudo, o acesso aos códigos de segurança para os cartões de crédito ou números dos titulares da Segurança Social e datas de nascimento.

diante dessa situação, o Citibank diz que descobriu o arrombamento no início de maio, durante uma verificação de rotina. A empresa informou desde então os investigadores criminais, e diz que reforçou a sua segurança. Além disso, o Citibank ainda não anunciou quem seria o responsável pelo ataque, Mas o especialista em segurança que falou com o jornal The New York Times sob condição de anonimato, diz que ele presume serem provenientes da Europa Oriental.

Saiba Mais:

[1] The New York Times: http://www.nytimes.com/2011/06/14/te...ref=technology