03 Janeiro 2017
Problemas de segurança são sempre uma preocupação em grandes empresas de internet e tecnologia. Muitos sites e serviços oferecem programas de recompensa para pesquisadores que encontrem brechas em seus sistemas. Às vezes temos notícias de alguém que recebeu algum pagamento, como por exemplo o menino de 10 anos que encontrou uma falha no Instagram e foi recompensado pelo Facebook. Alguns serviços se recusam a pagar, como já aconteceu com o Steam.
O Google está se negando a corrigir uma falha em sua própria página de login que poderia fazer com que um hacker roube a senha de qualquer usuário. Segundo o pesquisador Aidan Woods, uma brecha no buscador pode permitir com que um atacante engane usuários utilizando o próprio Google para roubar suas senhas, e a empresa não quer corrigir o problema.
Woods relata que comunicou o Google que a adição de um parâmetro extra chamado “continue” na url da página de login do buscador leva o usuário a qualquer website colocado ali. Por exemplo, ao adicionar ao endereço de login do Google a sequência &continue=http://www.google.com/amp/tudocelular.com, o usuário será levado para a página inicial do TudoCelular após efetuar o login. Um cibercriminoso pode aproveitar esta brecha para enviar e-mails phishing com um link que leve o usuário a uma página que peça novamente seu login e senha, e, com isso, entregue os dados ao hacker.
O Google foi comunicado do problema, ao que respondeu “obrigado por seu aviso de bug e pesquisa para manter nossos usuários seguros! Nós investigamos seu envio e decidimos não marcá-la como uma falha de segurança”. Então, o pesquisador resolveu divulgar a questão em seu blog. “Espero que a divulgação pública incentive o Google a resolver o problema”, escreveu.
Um outro pesquisador que chegou a ler a postagem de Woods declarou já ter descoberto o mesmo problema em junho, e recebeu resposta semelhante dos funcionários da gigante das buscas. O Google enviou uma nota ao Business Insider em que tenta explicar a questão:
Como muitos serviços baseados em conta, nós ativamos esses redirecionamentos, em parte, para proporcionar uma experiência simples de login em sites que também evitam atritos desnecessários. Em nosso caso, um usuário pode navegar para um site em que pode fazer login com as credenciais do Google, acessar sua conta, e finalmente ser redirecionado de volta para a mesma página que estava inicialmente. Ao mesmo tempo, estamos lutando constantemente para proteger os usuários contra phishing e outros riscos de segurança com diversas medidas de segurança, incluindo a navegação segura, verificação em dois passo e mais.
Seja como for, fica para sempre aquela dica básica: cuidado com os links que chegam por email ou mensagens, especialmente de contatos desconhecidos. E, para evitar problemas, tente ativar a verificação em dois passos em sua conta do Google, pois pode te evitar uma dor de cabeça com essa falha.
Comentários