Sites famosos ditos seguros podem ser comprometidos, diz especialista

Por Henrique Cesar Ulbrich

Há um mês, foi divulgada uma vulnerabilidade que afetaria contas do GMail, permitindo acesso a dados supostamente protegidos. Segundo o descobridor da falha, entretanto, o problema parece abranger muito mais sites.

Segundo o portal de notícias Slashdot.org, o pesquisador Mike Perry, especialista em segurança, declarou que, ao contrário do que vinha sendo divulgado até então, a falha não é exclusividade o Google. Perry declarou ter decidido divulgar a falha ao público em geral trinta dias após sua apresentação na conferência DEFCON 16: "[Chegou a hora de] liberar a ferramenta para um grupo de usuários maior. Nem a ferramenta nem o ataque são específicos do GMail e, em verdade, muitos outros sites estão vulneráveis". O especialista acusa a maioria dos sites que usam criptografia SSL para garantir "conexões seguras" (mais conhecidas como HTTPS) de não implementar a tecnologia como se deve e, assim, aumentar - em vez de diminuir - o risco de ataques e de comprometer a confidencialidade dos dados dos internautas.

A falha é ainda mais grave porque acomete também empresas que usam as conexões seguras para proteger transações bancárias ou de compra com cartão de crédito. O pesquisador publicou uma lista parcial, disponível em tinyurl.com/63raor, com os sites em que a vulnerabilidade foi encontrada. Grandes empresas figuram na lista, entre elas a loja online da Apple, eBay, United Airlines, Bank of America e Register.com.

Grandes portais como o MySpace, Yahoo!, Windows Live da Microsoft, Facebook, Flickr e Twitter, além de vários serviços do Google como o GMail e o Blogger, também são vulneráveis.

A Magnet já solicitou uma cópia da ferramenta. Em breve, publicaremos uma lista das empresas nacionais cujos sites supostamente seguros têm a falha.

Perry convida todos os proprietários de sites que usam conexões seguras do tipo HTTPS a enviarem um email solicitando mais informações e uma cópia da ferramenta. O pesquisador também quer distribuir a ferramenta a todos os profissionais e consultores de segurança interessados. "A ferramenta pode ser usada para encorajar seus clientes a implementarem o SSL corretamente", completa Perry, "e até mesmo fazer com que novos fregueses apareçam".

O blog de Perry possui mais informações sobre a falha e a maneira de explorá-la, e pode ser acessado pelo atalho tinyurl.com/5ra6op. Para solicitar a ferramenta, envie um email para mikeperry [arroba] fscked.org com a palavra "CookieMonster" no assunto, sem as aspas e sem espaço (grafia do email obfuscada a pedido de Perry).

• Envie a notícia
• Comente com amigos
• Versão para impressão



• Inclua em seus favoritos

RECOMENDE ESTA NOTÍCIA

Minha recomendação:

Não veja Mais ou menos Dê uma olhada Boa Muito boa

Média (Not Rated)