Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Login novo usando facebook? Xiiiii…

Share on linkedin
Share on twitter
Share on facebook

Há uma nova vulnerabilidade para ser explorada pelos bandidos digitais: ela está numa ferramenta utilizada por alguns dos gigantes da internet para login – entre eles Google, Facebook e Linkedin. Chamada de “Covert Redirect”, ela foi descoberta por Wang Jing estudante de doutorado em matemática da Nanyang University em Cingapura. O truque é assim: ao clicar em algum link de um site que você acaba de conhecer abre-se uma janela pop-up pedindo que você faça login pelo Facebook, por exemplo (mas pode ser pelo Liknedin ou pelo Google e vários outros sites grandes). E nesse caso você não vai descobrir o truque, porque o link utilizado é o verdadeiro (daque site onde você quer entrar) – mas os seus dados irão para outro lugar e não haverá autenticação nenhuma.

Login novo usando facebook? Xiiiii
E agora: clicar ou não clicar? Na dúvida, não!

A falha está em duas aplicações do gênero open source – o OpenID e o OAuth.  Wang diz que já entrou em contato com o Facebook e foi informado de que “a empresa entende os riscos associados ao OAuth 2.0” e que “conserta a falha não é uma coisa que se faça em pouco tempo”. O pesquisador também fez contatos com o Google e com a Microsoft. A lista dos principais sites afetados é a seguinte:

  • Google
  • Facebook
  • Linkedin
  • PayPal
  • Yahoo
  • Microsoft
  • PayPal
  • GitHub