Por Robert McMillan
São Francisco – Após tratamento displicente das empresas, pesquisador publica detalhes sobre falha que dá a hackers acesso a contas de usuários.
Frustrado com os alertas sem respostas enviados à gigante de software Microsoft e ao site de e-commerce Amazon.com, um pesquisador de segurança publicou detalhes de falhas nas páginas de ambas as companhias no final da semana passada.
As falhas permitiam que hackers roubassem arquivos “cookies”, que poderiam ser usados para acesso irregular a contas do Amazon.com e do MSN, ou para mostrar uma falsa página de autenticação que poderia ser usada para ataques do tipo phishing, de acordo com Yash Kadakia, o pesquisador de segurança independente que descobriu as brechas.
Mesmo que as falhas de script em múltiplos sites descobertas sejam geralmente consideradas de baixo risco, os ataques revelados por Kadakia envolvem uma técnica de injeção chamada CRLF (Carriage Returne Line Feed), que poder ser usada para ataques mais amplos e perigosos.
Kadakia disse que avisou o problema para a Microsoft há cerca de um ano, mas revelou que não era levado a sério pela empresa até o final da semana passada, quando publicou telas da falha sendo exploradas em seu site.
A vulnerabilidade no Amazon.com foi descoberta em dezembro, mas após algumas discussões iniciais com o serviço de venda online, a brecha continuou sem atualização, disse Kadakia. “O diálogo parou em alguma ocasião”, disse ele.
Uma porta-voz da Microsoft disse que as falhas estavam sendo investigadas. Executivos do Amazon.com não estavam disponíveis para comentar a história.
Mesmo que tenha se focado em segurança nos últimos tempos, a Microsoft parece estar mais lenta lidando com problemas de segurança relacionados a seus serviços online do que seus produtos, disse Stefano Zanero, co-fundador e diretor de tecnologia da consultoria Secure Network.
Falhas online como a descoberta por Kadakia estão presentes em muitos sites, mas hackers começaram a concentrar seus esforços em sistemas operacionais. No entanto, como as falhas em softwares estão se tornando mais difíceis de serem encontradas, pesquisadores independentes estão procurando por novas áreas, incluindo aplicações online.
De acordo com Zanero, existem muitas vulnerabilidades que deverão ser descobertas. “Nós fazemos testes de penetração de aplicações online e descobrimos grandes buracos em cada serviço testado até hoje”, disse ele. “Estamos só esperando para que esta bolha exploda”.
No começo do mês, um worm focado no serviço de e-mail do Yahoo, chamado de JS.Yamanner@m, foi detectado. Mesmo sem causar danos mais amplos, a praga chamou atenção para brechas em aplicações online.
*Robert McMillan é editor do IDG News Service, em São Francisco
Pesquisador publica detalhes de falhas nos sites do Amazon e do MSN
None
Cotidiano
Cotidiano
Cotidiano
Cotidiano
Cotidiano