Sites famosos ditos seguros podem ter brechas

Há um mês, foi divulgada uma vulnerabilidade que afetaria contas do Gmail, permitindo acesso a dados supostamente protegidos. Segundo o descobridor da falha, entretanto, o problema parece abranger muito mais sites.

Segundo o portal de notícias Slashdot.org, o pesquisador Mike Perry, especialista em segurança, declarou que, ao contrário do que vinha sendo divulgado até então, a falha não é exclusividade do Google. Perry declarou ter decidido divulgar a falha ao público trinta dias após sua apresentação na conferência DEFCON 16: "Chegou a hora de liberar a ferramenta para um grupo de usuários maior. Nem a ferramenta nem o ataque são específicos do Gmail e, em verdade, muitos outros sites estão vulneráveis". O especialista acusa a maioria dos sites que usam criptografia SSL para garantir "conexões seguras" (mais conhecidas como HTTPS) de não implementar a tecnologia como se deve e, assim, aumentar - em vez de diminuir - o risco de ataques e comprometer a confidencialidade dos dados dos internautas.

A falha é ainda mais grave porque acomete também empresas que usam as conexões seguras para proteger transações bancárias ou de compra com cartão de crédito. O pesquisador publicou uma lista parcial, disponível em tinyurl.com/63raor, com os sites em que a vulnerabilidade foi encontrada. Grandes empresas figuram na lista, entre elas a loja online da Apple, eBay, United Airlines, Bank of America e Register.com.

Grandes portais como o MySpace, Yahoo!, Windows Live da Microsoft, Facebook, Flickr e Twitter, além de vários serviços do Google como o Gmail e o Blogger, também são vulneráveis.

A Magnet já solicitou uma cópia da ferramenta. Em breve, publicaremos uma lista das empresas nacionais cujos sites supostamente seguros têm a falha.

Perry convida todos os proprietários de sites que usam conexões seguras do tipo HTTPS a enviarem um email solicitando mais informações e uma cópia da ferramenta. O pesquisador também quer distribuir a ferramenta a todos os profissionais e consultores de segurança interessados. "A ferramenta pode ser usada para encorajar seus clientes a implementarem o SSL corretamente", completa Perry, "e até mesmo fazer com que novos fregueses apareçam".

O blog de Perry possui mais informações sobre a falha e a maneira de explorá-la, podendo ser acessado pelo atalho tinyurl.com/5ra6op. Para solicitar a ferramenta, envie um email para mikeperry arroba fscked.org com a palavra "CookieMonster" no assunto, sem as aspas e sem espaço (grafia do email ofuscada a pedido de Perry).