Home > Notícias

Pesquisador divulga falhas nos sites da Amazon e da MSN

Após tratamento displicente das empresas, pesquisador publica detalhes sobre falha que dá a hackers acesso a contas de usuários

Por Robert McMillan, para o IDG Now!

29/06/2006 às 12h17

Foto:

Após tratamento displicente das empresas, pesquisador publica detalhes sobre falha que dá a hackers acesso a contas de usuários

Frustrado com os alertas sem respostas enviados à gigante de software Microsoft e ao site de e-commerce Amazon.com, um pesquisador de segurança publicou detalhes de falhas nas páginas de ambas as companhias no final da semana passada.

As falhas permitiam que hackers roubassem arquivos "cookies", que poderiam ser usados para acesso irregular a contas do Amazon.com e do MSN, ou para mostrar uma falsa página de autenticação que poderia ser usada para ataques do tipo phishing, de acordo com Yash Kadakia, o pesquisador de segurança independente que descobriu as brechas.

Mesmo que as falhas de script em múltiplos sites descobertas sejam  geralmente consideradas de baixo risco, os ataques revelados por Kadakia envolvem uma técnica de injeção chamada CRLF (Carriage Returne Line Feed), que poder ser usada para ataques mais amplos e perigosos.

Kadakia disse que avisou o problema para a Microsoft há cerca de um ano, mas revelou que não era levado a sério pela empresa até o final da semana passada, quando publicou telas da falha sendo exploradas em seu site.

A vulnerabilidade no Amazon.com foi descoberta em dezembro, mas após algumas discussões iniciais com o serviço de venda online, a brecha continuou sem atualização, disse Kadakia. "O diálogo parou em alguma ocasião", disse ele.

Uma porta-voz da Microsoft disse que as falhas estavam sendo investigadas. Executivos do Amazon.com não estavam disponíveis para comentar a história.

Mesmo que tenha se focado em segurança nos últimos tempos, a Microsoft parece estar mais lenta lidando com problemas de segurança relacionados a seus serviços online do que seus produtos, disse Stefano Zanero, co-fundador e diretor de tecnologia da consultoria Secure Network.

Falhas online como a descoberta por Kadakia estão presentes em muitos sites, mas hackers começaram a concentrar seus esforços em sistemas operacionais. No entanto, como as falhas em softwares estão se tornando mais difíceis de serem encontradas, pesquisadores independentes estão procurando por novas áreas, incluindo aplicações online.

De acordo com Zanero, existem muitas vulnerabilidades que deverão ser descobertas. "Nós fazemos testes de penetração de aplicações online e descobrimos grandes buracos em cada serviço testado até hoje", disse ele. "Estamos só esperando para que esta bolha exploda".

No começo do mês, um worm focado no serviço de e-mail do Yahoo, chamado de JS.Yamanner@m, foi detectado. Mesmo sem causar danos mais amplos, a praga chamou atenção para brechas em aplicações online.

A resposta demorada da Microsoft e do Amazon.com mostra que vulnerabilidades não estão no topo das preocupações em muitos sites, disse Zanero. "É o tratamento displicente dado pelas empresas que me surpreende", disse ele. "Estas vulnerabilidades estão em dois dos mais importantes sites do mundo, alguém as encontrou e ninguém liga muito para elas".

No entanto, nem todos os experts de segurança concordaram que as falhas descobertas por Kadakia são críticas. "Estes são erros comuns neste tipo de serviço", disse uma porta-voz da Symantec em um e-mail. "Nada de tão bombástico para analisar".

Mesmo assim, a Symantec parece ter levado o problema mais a sério do que a Microsoft, segundo Kadakia. O pesquisador avisou a empresa recentemente de uma falha similar em seu site. "A Symantec a corrigiu em uma semana".

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail