Mundo Tech

Serviços populares de hospedagem de sites estavam vulneráveis a roubo de contas




Algumas das principais empresas de hospedagem de sites no mundo estavam vulneráveis a ataques de tomada de conta e roubo de dados, segundo o pesquisador de segurança Paulos Yibelo, que exemplificou em vídeo e postagem em blog de segurança da informação. Os ataques de teste foram executados em cima de cinco empresas: Bluehost, DreamHost, Hostgator, OVH e iPage. As falhas de segurança eram relativamente similares entre as empresas, o que permitiu que os ataques que as afetassem fossem amplamente iguais.

De acordo com Yibelo, os hacks abririam possibilidade de impacto para pelo menos sete milhões de domínios, entre as empresas testadas. Segundo ele, “todas as cinco companhias apresentavam pelo menos uma vulnerabilidade que as deixavam abertas ao roubo de contas de usuário”. Ele explica que as falhas variavam entre casos de infraestrutura antiquada, sistemas de back-end excessivamente complicados e com ramificações demais e base muito ampla de usuários.

No caso da Bluehost, Yibelo escondeu um código JavaScript malicioso em uma página cheia de imagens de cães e gatos. Partindo do princípio que o usuário da Bluehost estivesse logado em sua conta e clicasse no link que levava à essa página, o script rodava automaticamente, injetando a informação de perfil do próprio atacante dentro da conta da vítima, explorando uma falha conhecida como “cross-site request forgery” (ou simplesmente “CSRF”). Essa falha permite que o hacker modifique os dados no servidor de seu site ou página falsa, inserindo a sua própria informação — como o endereço de e-mail —, efetivamente ganhando a capacidade de requisitar uma nova senha para o endereço que desejar, assumindo o controle da conta. Tudo isso, sem o usuário perceber nenhuma movimentação estranha até perder o acesso.

O pesquisador ainda descobriu que o mesmo método de invasão poderia ser executado por meio do que se conhece por “cross-site scripting” (XSS). Os efeitos seriam os mesmos: por meio de um clique em um link malicioso, o hacker trocaria as credenciais de e-mail do usuário pelas suas próprias, requisitando uma nova senha e ganhando controle da conta. Falhas similares foram encontradas na HostGator e iPage — as três empresas são subsidiárias da gigante Endurance, no ramo de hospedagens, por isso suas tecnologias de segurança eram similares.

Outras formas de ataque descobertas por Yibelo remetem a invasões do tipo “homem-no-meio”, como é comum em caso de invasões por redes públicas de wi-fi.

Quatro das cinco empresas pesquisadas responderam que já consertaram os referidos bugs; entretanto, a OVH não respondeu se tomou ação quanto às falhas encontradas em sua tecnologia. Nenhuma das cinco empresas comentou se um ataque real foi executado em seus domínios ou, em caso positivo, quantos usuários foram afetados.

Fonte: Canaltech

Continua após a publicidade..