Home > Notícias

TSE corrige falha que permitia ataque de phishing e roubo de dados

Se explorada, falha permitia criar páginas falsas difamando candidatos ou roubar senhas e dados pessoais dos usuários

Por Ralphe Manzoni Jr., editor executivo do IDG Now!

30/08/2006 às 10h37

Foto:

Se explorada, falha permitia criar páginas falsas difamando candidatos ou roubar senhas e dados pessoais dos usuários

O Tribunal Superior Eleitoral (TSE) corrigiu nesta terça-feira (29/08) uma falha que permitia que pessoas mal-intencionadas forjassem ataques de phishing scam através de seu web site.

Chamado tecnicamente de “cross site scripting”, ela permite que um usuário pense que esteja acessando uma página verdadeira do site do TSE, quando na verdade está rodando uma página falsa.

Um cracker pode explorar a falha abrindo uma página falsa do TSE dentro da página verdadeira.

No caso do TSE, o cracker poderia publicar informações falsas sobre os candidatos, difamando-os na internet ou mesmo até mesmo instalar um programa espião no computador da vítima para conseguir as informações bancárias ou dados pessoais.

Uma outra forma de explorar essa vulnerabilidade é enviar uma mensagem por e-mail falsa, mas que, em função da falha, leva o usuário para o site original, mas que conta com um script malicioso inserido.

A falha foi comunicado ao IDG Now! por um leitor. A empresa de segurança Batori, que analisou o problema, considerou a vulnerabilidade grave. Não há notícias de que a falha tenha sido explorada por algum cracker.

O IDG Now!, então, avisou ao TSE da falha no site e esperou que ela fosse corrigida, o que aconteceu há pouco, para publicar a informação.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail