Falha de segurança afeta logins de Facebook, Google e Microsoft
Depois do Heartbleed, falha no protocolo OpenSSL, foram encontradas vulnerabilidades graves nas ferramentas de login OAuth e OpenID, utilizadas em boa parte dos grandes sites, como Facebook, Google e Microsoft.
Várias empresas estão vulneráveis ao erro (Foto: Reprodução/CNET)
Um estudante de PHD de Singapura, Wang Jing,
identificou a falha, chamada de “Covert Redirect”, que consegue usar
domínios reais de sites para verificação de páginas de login falsas,
enganando os internautas.Os cibercriminosos podem criar links maliciosos para abrir janelas pop-up do Facebook pedindo que o tal aplicativo seja autorizado. Caso seja realizada esta sincronização, os dados pessoais dos usuários serão passados para os hackers.
saiba mais
Você conhece o novo vírus Switz? Leia o Fórum e proteja-seWang afirma que já entrou em contato com o Facebook, porém recebeu uma resposta de que “entende os riscos de estar associado ao OAuth 2.0″ e que corrigir a falha “é algo que não pode ser feito por enquanto”.
O Google afirmou que o problema está sendo rastreado, o LinkedIn publicou nota em que garante que já tomou medidas para evitar que a falha seja explorada, e a Microsoft negou que houvesse vulnerabilidade em suas páginas, apenas nas de terceiros.
A recomendação do descobridor da falha para os internautas é que evitem fazer o login com dados de confirmação de Facebook, Google ou qualquer outro serviço sem terem total certeza de que estão em um ambiente seguro.
Especialistas: erro é difícil de corrigir
O site CNET ouviu dois especialistas em segurança virtual sobre o assunto. Segundo Jeremiah Grossman, fundador e CEO interino da WhiteHat
Security
, afirma que a falha “não é fácil de corrigir”. Segundo Chris Wysopal, diretor da Veracode, a falha pode enganar muita gente.“A confiança que os usuários dão ao Facebook e outros serviços que usam OAuth pode tornar mais fácil para os hackers enganarem as pessoas para que elas acabem dando suas informações pessoais a ele”, afirma Wsyopal.
Assinar:
Postar comentários
(
Atom
)
Nenhum comentário :
Postar um comentário