Nova vulnerabilidade em conexões HTTPS afeta quase 1.000 sites

E lá vamos nós para mais uma falha de segurança, embora esta não seja tão grave quanto o apavorante Heartbleed. Uma vulnerabilidade identificada em produtos e aplicativos bastante específicos, batizada de Ticketbleed está vazando dados críticos através de conexões HTTPS, que deveriam estar criptografadas. 949 domínios de um total de pouco mais de um milhão de sites em todo o mundo foram afetados, inclusive um brasileiro de grande porte.

Eis o rolo: a Filippo, uma empresa de segurança identificou um falha em firewalls, roteadores e outras soluções da F5 Systems, em especial aqueles que contam com a tecnologia F5 BIG-IP. Um usuário mal intencionado pode enviar uma série de comandos específicos e conseguir com isso fragmentos de informações críticas que normalmente ficariam protegidas. A questão é que com uma série de solicitações maliciosas, um hacker pode ter acesso à totalidade dos dados que deseja capturar.

O que está em risco: chaves criptográficas e outros dados normalmente securos atrás de protocolos HTTPS, o que é irônico se lembrarmos que Google e Mozilla estão pressionando web developers a migrarem do HTTP para o formato mais protegido. Em Segurança da Informação sabemos que não há nenhum sistema 100% protegido, mas ainda assim é irônico tal vulnerabilidade aparecer agora.

A empresa de segurança não informou quais sites foram comprometidos, mas sabemos que 949 foram afetados. No entanto, uma consulta com uma ferramenta específica revelou que os seguintes domínios estão desprotegidos:

  • www.adnxs.com;
  • www.aktuality.sk;
  • www.ancestry.com;
  • www.ancestry.co.uk;
  • www.blesk.cz;
  • www.clarin.com;
  • www.findagrave.com;
  • www.netteller.com;
  • www.paychex.com.

Os brasileiros que gostam de vender suas coisinhas na internet também precisam ficar atentos: todos os sites do grupo Mercado Libre, incluindo o domínio nacional utilizam tecnologia da F5 e estão vulneráveis.

A questão é que embora o Ticketbleed não seja tão grave quanto o Heartbleed ou outras vulnerabilidades recentes por ser bastante específico, há de se convir que inúmeros domínios de médio grande porte confiam nas soluções da F5, o que pode se reverter em danos a milhões de usuários. Em 2009 ela respondia por cerca de 10 milhões de sites, o que não é nem de longe um número desprezível. Cabe à empresa e aos profissionais de segurança correrem atrás do prejuízo e corrigirem esse bug rápido, antes que danos sérios sejam causados.

Fonte: Ars Technica.

Relacionados: , , , , , , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Carlos Cabral

    Esperto é o MeioBit, não sofre da vulnerabilidade pois nem HTTPS tem.

    • McLovin

      ¯_(ツ)_/¯

    • Alvaro Carneiro

      E aí fica o Chrome avisando que o meiobit não é seguro, já que agora o Chrome está pré-exigindo HTTPS. Lá na frente vai começar a barrar sites sem HTTPS. Google cismo que todos os sites vao ter que ter SSL.

      • Carlos Cabral

        Certo o Google. Não é como se fosse difícil de implementar com Let’s Encrypt ou Cloudflare.

      • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        Aqui não acontece isso não, não seria seu antivírus ou DNS?

        • Mateus Azevedo

          Leia o artigo linkado no post falando do Chrome e Firefox e vai entender.

    • Tatsumak

      Droga, perdi minha piada pronta!

    • Rafael

      Tecnoblog é https e foi hackeado. Onde estão seus deuses agora?

      • Carlos Cabral

        Não foi hackeado, foi um pau no rack inteiro do host.

        • Thiago Bachi Rehbein

          Rackeado??? hehehehehehe…

      • O storage aonde fica os arquivos do site deu problema, eles postaram tudo o que aconteceu no twitter deles…

      • Ed. Blake

        De onde você tirou isso, jovem?

    • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

      E por que um site que não oferece nada sensível e nem mesmo um login deveria ser HTTPS? Só para dar dinheiro para as autoridades certificadoras?

      • Xiao Xiao

        “E por que um site que não oferece nada sensível e nem mesmo um login deveria ser HTTPS?”

        Hoje em dia só fica sem HTTPS quem quer. Tem github, cloudflare, letsencrypt e o diabo a quatro que dão certificados grátis. Não precisa ser uma loja virtual pra ter certificado. Isso aqui é wordpress. Tem página de login! Eles poderiam usar certificado pelo menos pra manter a segurança deles e pra dar o exemplo. Sem contar que a Google prioriza sites com certificado, então pra SEO isso é ótimo.

        • O (ex)Datilógrafo da AEB

          Meu blog que ninguém acessa ( incluso eu), tem https.

          • alvaro lordelo

            maquina de datilografar digital, boa !

  • chiappa

    Gogoni, só uma Obs : tudo bem que o ars tecnica fez seu sensacionalismozinho, até comparando com heartbleed sendo que não tem tanto assim a ver, okdoc, mas no finalzinho ao menos colocou duas frases relativizando a gravidade :

    It’s not yet clear precisely what kind of data can be extracted by
    exploiting the bug. Valsorda, who is a cryptography engineer for content
    delivery network Cloudflare, said he discovered the flaw by chance as
    he and a colleague helped troubleshoot error messages received by
    customers using an F5 load balancer (Valsorda has more details here). So far, Valsorda has observed the bug returning other users’ session IDs, which by themselves aren’t particularly sensitive.

    É tão difícil os imitar e colocar também no final do texto uma linhazinha que seja falando o mesmo ? E que tal também os imitar e avisar que rapidamente o MercadoLibre diz que já corrigiu ??? Sorry, mas omitir informação de contexto importante não é boa prática imho…

    • pesset

      O que vale é o clique…está virando um novo Gizmodo.

      • Monkey

        Tá muuuuuito longe…

        • chiappa

          Não é bem assim não, nem de longe, não exageremos…. Eu entendo que um pouquinho de sensacionalismo é chamariz pra gente que só lê as frases inicias (então já tem que começar “bombástico”, serve pra chamar a atenção, aumentar os clicks na página que (em tese) pagam o mingau do site, mas eu gostaria de ter visto *** UMA ** frase que fosse, colocando na proporção correta a descoberta dos pesquisadores, só isso : senão fica parecendo com notícia do Fantástico, onde toda descoberta médica vai curar o câncer, onde todo erro de sistemas é um novo bug do milênio, tudo é exagero…. Um ** mínimo ** de bom senso, nem que fosse que nem o ars media fez, jogado láááá no fim do texto onde ninguém lê e só depois que o leitor já teve a sensação necessária….

          • Monkey

            Rapaz… acompanhei de perto o Giz nos últimos anos. Foi triste ver onde parou… 🙁

        • Tom

          Só esse anúncio dando olé na parte de baixo já mostra que não falta tanto não

          • Monkey

            O Giz levou uns 3 anos…

  • Tom

    Porque eu li Mercado Dibre?

  • ” uma empresa de segurança identificou um falha em firewalls, roteadores e outras soluções da F5 Systems, em especial aqueles que contam com a tecnologia F5 BIG-IP”

    A falha afeta um equipamento na verdade, não tem nada a ver com o protocolo SSL, noticia mais mal feita, esperava mais do meiobit

  • Cássio Amaral

    Não entendi direito, a falha é em hardware/software, como firewall e roteadores, ou é em protocolos, como HTTPS, SSL/TLS etc. ?

  • Luiz

    ” mas ainda assim é irônico tal vulnerabilidade aparecer agora” Não é ironico, é obvio, se todo mundo está migrando para HTTPS, é bem obvio que mais falhas vão ser encontradas e vai ter implementação porca de HTTPS feita.

    • Jose X.

      muito bom 🙂

Aproveite nossos cupons de desconto:

Cupom de desconto Locaweb, Cupom de desconto HP, Cupom de desconto Descomplica, Cupom de desconto Nuuvem, Cupom de desconto CVC, Cupom de desconto Asus, Cupom de desconto World Tennis