sexta-feira, 2 de maio de 2014

Pá! Acabou-se o mundo!
Véio, como assim?!

Geral ainda está se recuperando do Heartbleed, uma das maiores falhas de segurança já registradas, com um bug no OpenSSL (Secure Sockets Layer). 
Pois é, a parada já tava ferrada a quase dois anos e afetou 60% da internet, mano! Cês não tem noção o que é isso!!
Aí, blz, mas outra brecha foi encontrada em outras ferramentas de login extremamente difundidas: o OAuth e o OpenID, usados por gigantes como Facebook, Microsoft e Google! Pá! Na cara da sociedade!

O bug foi encontrado por Wang Jing, estudante de doutorado da Nanyang Technological University, em Cingapura. A vulnerabilidade, chamada de “Covert Redirect”, permite o disfarce da ameaça como um popup de login baseado no site afetado. Abaixo está a lista com os principais sites afetados.

Ahhhh, agora deu medinho né?

Então saca um exemplo dado pela CNET: 
um link malicioso de phishing pode gerar uma janela de popup do Facebook, pedindo autorização para um aplicativo. Blz? Assim, não é necessário nem mesmo usar um domínio falso para enganar a vítima; é possível usar o site real para autenticação!

Aí, assim que o usuário autoriza o login, suas informações pessoais são enviadas diretamente para o cibercriminoso, ao invés de mandar pro site de verdade. 
Isso inclui endereços, data de nascimento, listas de contatos, cor da sua roupa íntima e, possivelmente, controle total da conta!

A dica para evitar problemas é a mesma de sempre: evitar clicar em links suspeitos que pedem a realização de um login imediato do Google ou Facebook. Caso o usuário acabe clicando no link, mas não fizer o login, seus dados devem permanecer seguros.

E tem gente que ainda usa o Explorer... mas isso é outro bug!!

Tá f*d@!

0 comentários:

Postar um comentário

Related Posts Plugin for WordPress, Blogger...

# Nóis na Rede