Home > Notícias

Brecha em código HTML deixa sites como YouTube suscetíveis à invasão

Falha permite roubo de dados de sites como New Yotk Times, YouTube e MetaFilter, mostra estudo da Universidade de Princeton.

IDG News Service/Reino Unido

30/09/2008 às 11h54

Foto:

Um problema na codificação de sites, conhecida tecnicamente como "cross-site request forgery", permite que crackers ataquem portais para acessar dados pessoais de usuários que estejam autenticados online.

O portal do jornal New York Times ainda está vulnerável. O YouTube, o portal
de blogs MetaFilter e o banco
ING Direct corrigiram a falha de codificação.

Em um ensaio
acadêmico
, os professores William Zeller e Edward Felten, da Universidade de Princeton, disseram que as
falhas de CSRF foram ignoradas pelos desenvolvedores por falta de conhecimento
sobre a seriedade do problema.

Diversos sites legítimos armazenam informações pessoais do
internauta em um cookie ou em um arquivo de dados quando a pessoa se loga no
portal.

Estas informações são requisitadas novamente para checagem, como
durante o processo de uma compra online, por exemplo.

Durante o ataque de CSRF, um cracker envia esse pedido de
checagem para o portal legítimo que - sem saber identificar que se trata de uma
fraude - envia os dados pessoais do usuário.

"A causa principal que gerou o CSRF e outras vulnerabilidades está na
complexidade dos protocolos de web e da evolução gradual da web como local de
apresentação de dados para uma plataforma de serviços interativos," defende
o ensaio.

No portal do The New York Times, o cracker pode conseguir o endereço de e-mail
de quem está logado no portal. Esse endereço pode se tornar destinatário de spam.

No dia 24 de setembro, a falha não foi corrigida, apesar dos pesquisadores
terem notificado o jornal em setembro de 2007.

O problema no portal do ING foi mais sério. Zeller e Felten escreveram que a
falha CSRF permite que uma outra conta corrente seja criada em nome da vítima. Além
disso, um cracker poderia transferir o dinheiro para a sua própria conta. Os
especialistas afirmam que o ING corrigiu o problema depois de notificado.

No site do MetaFile, a falha permite acesso à senha do usuário. Já no YouTube, um
ataque permite adicionar vídeos na lista de favoritos do usuário e mandar mensagens
para outros usuários. Nos dois portais, as falhas foram corrigidas segundo os
pesquisadores.

Aparentemente, as falhas de CSRF são fáceis de serem achadas e corrigidas. Os
autores do estudo indicam os detalhes técnicos para isso no ensaio. Eles também
criaram um plug-in adicional para o Firefox para que
os usuários se defendam de alguns tipos de ataques CSRF.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail