Falha no Dropbox deixa arquivos de usuários expostos por quatro horas
Há pouco tempo o Dropbox foi acusado de mentir aos seus usuários sobre encriptação de dados. Ontem, o serviço de armazenamento na nuvem figurou em um segundo vexame envolvendo segurança. Os arquivos de seus usuários ficaram, durante quatro horas, expostos a quem quisesse acessá-los pela web. A falha fez com que as pastas contendo os arquivos pudessem ser abertas mediante a entrada de qualquer senha aleatória.
Falha no Twitpic permitia postagens em seu Twitter
A Rosana e o Danilo descobriram uma falha bem interessante, que poderia causar sérios problemas para os usuários do Twitpic. Ao se cadastrar no site, você recebe um e-mail, que permite enviar fotos diretamente do celular ou do próprio desktop (para quem não quer ter o “trabalho” de entrar no Twitpic e enviar suas fotos…). Esse e-mail é gerado da seguinte forma: usuario.1234@twitpic.com.
Alterem os seus Pin Code
O Danilo conseguiu gerar um programa que identificava o número do usuário. Na verdade, ele não identificava. Era força bruta mesmo. Existem dez mil possibilidades para o código, então, ele enviava dez mil e-mails e um deles seria o código do usuário, que teria algo publicado em sua conta. Isso não comprometeria a segurança da senha do Twitter mas poderia causar sérios problemas, como enviar um tuíte comprometedor pela conta de um usuário “indefeso”.
O Governo Brasileiro está cheio de pragas
Calma, esse não é um daqueles artigos políticos oportunistas em véspera de eleição, feitos para promover este ou aquele candidato com argumentos duvidosos e repetitivos. Lembre-se, este é um blog de tecnologia (e eu, particularmente, detesto esse tipo de abordagem).
Diversos sites do Governo estão infestados por SPAM e malware. A descoberta foi da empresa de segurança Sucuri Security, que publicou em seu blog com detalhes e, obviamente, aproveitou pra “oferecer ajuda”. Os sites sofreram algum tipo de ataque para que disponibilizassem conteúdo e links para sites que vendem remédio para impotência, em sua maioria. Em alguns deles houve até penalização pelo Google por SPAM e malware.
Não é uma falha, é uma cratera
O interessante nesse caso é a diversidade de sites e órgãos invadidos, o que leva a crer que uma determinada falha explorada está presente em diversos setores, órgãos e empresas do Governo Brasileiro, fazendo com que a exposição seja gigantesca.
Ainda não houve nenhum relato de roubo de dados ou coisa parecida, apenas de injeção de conteúdo (um ataque comum que eu já vi acontecer tanto em falhas de CMS como de servidores).
Resultados de uma busca feita no Google pelo termo "viagra"
O principal objetivo desses ataques é o SPAM, criando-se conteúdo de um determinado produto ou serviço e apontando links para os sites que vendam o tal produto. Isso faz com que o site destino receba “link juice” e apareça melhor em resultados de busca. O resultado é muito eficaz, mas dura pouco, pois os mecanismos de busca descobrem e acabam banindo esses sites, que surgem novamente com outro nome, domínio e servidores diferentes. Um círculo vicioso infinito.
Dificuldade de detecção
Infelizmente, é difícil detectar conteúdo injetado, a menos que seja muito óbvio, mudando a página principal do site, por exemplo. Apenas com monitoramento constante do site, com ferramentas especializadas, é possível identificar e corrigir problemas como esse em curto espaço de tempo, o suficiente para não sofrer penalizações, não indexar conteúdo malicioso, não infectar usuários em caso de malware. A própria Sucir possui um malware scanner (limitado na versão free) que satisfaz para pequenos sites e blogs.
Por conta da dificuldade dessa detecção, os sites infectados estão ainda disponíveis, indexados e alguns bloqueados. Vale fazer um pequeno barulho para alertar o Governo sobre o problema e quem sabe fazer as empresas responsáveis darem um jeito de consertar. Se você tem algum contato, por favor, encaminhe esse texto.
Para saber quais sites estão com problemas, basta uma simples busca no Google por termos como: viagra, tramadol ou cialis e adicionando “inurl:gov.br” na query de busca. Você pode usar isso também para checar se algum site seu ou de sua responsabilidade, possui páginas indexadas com algum termo de SPAM.
