Site da Caixa “esquece” autenticação e facilita consulta de FGTS e PIS de terceiros

Uma falha estrutural presente em um dos sites da Caixa Econômica Federal permite que qualquer criminoso obtenha, com relativa facilidade, acesso total aos dados do Fundo de Garantia por Tempo de Serviço (FGTS) e do Programa de Integração Social (PIS) de qualquer brasileiro. O problema foi denunciado com exclusividade à The Hack pela pesquisadora Sofia Marshallowitz, que encontrou o erro de forma acidental e realizou testes devidamente autorizados com dados de pessoas próximas.

A vulnerabilidade em questão reside em uma página da Caixa feita especificamente para que o cidadão possa consultar seus benefícios trabalhistas, sendo um sistema separado do internet banking principal da instituição bancária. No momento da autenticação do usuário — que pode ser feita via email, CPF ou Número de Identificação Social (NIS) —, o invasor pode solicitar o reset da senha, se passando pelo trabalhador que esqueceu qual é a password utilizada para logar no site.

O detalhe é que o