A Caixa Econômica Federal corrigiu na noite desta quinta-feira (3) uma falha de segurança em seu site que permitia redirecionar usuários para outras páginas, o que poderia ser usado para enviar uma vítima a um site clonado. A brecha foi descoberta pelo estudante da área de ciência da computação Jeferson Medeiros.
A brecha de segurança consistia em duas partes. A página inicial da Caixa (caixa.gov.br) aceitava um "cookie" e redirecionava o internauta para o endereço definido nesse cookie. Cookies são pequenos valores que sites podem armazenar no navegador do internauta e são usados para que o site consiga "lembrar" opções escolhidas pelo usuário. Somente o site pode definir seus próprios cookies, ou seja, somente caixa.gov.br pode definir cookies para caixa.gov.br, mas o site da Caixa tinha um segundo problema: uma página capaz de escrever e apagar qualquer cookie da Caixa, tornando todos os cookies manipuláveis por terceiros.