CISO Advisor: 238.450 page views/mês - 90.230 usuários/mês - 5.312 assinantes

Login novo usando facebook? Xiiiii…

Paulo Brito
04/05/2014

Há uma nova vulnerabilidade para ser explorada pelos bandidos digitais: ela está numa ferramenta utilizada por alguns dos gigantes da internet para login – entre eles Google, Facebook e Linkedin. Chamada de “Covert Redirect”, ela foi descoberta por Wang Jing estudante de doutorado em matemática da Nanyang University em Cingapura. O truque é assim: ao clicar em algum link de um site que você acaba de conhecer abre-se uma janela pop-up pedindo que você faça login pelo Facebook, por exemplo (mas pode ser pelo Liknedin ou pelo Google e vários outros sites grandes). E nesse caso você não vai descobrir o truque, porque o link utilizado é o verdadeiro (daque site onde você quer entrar) – mas os seus dados irão para outro lugar e não haverá autenticação nenhuma.

Login novo usando facebook? Xiiiii
E agora: clicar ou não clicar? Na dúvida, não!

A falha está em duas aplicações do gênero open source – o OpenID e o OAuth.  Wang diz que já entrou em contato com o Facebook e foi informado de que “a empresa entende os riscos associados ao OAuth 2.0” e que “conserta a falha não é uma coisa que se faça em pouco tempo”. O pesquisador também fez contatos com o Google e com a Microsoft. A lista dos principais sites afetados é a seguinte:

  • Google
  • Facebook
  • Linkedin
  • PayPal
  • Yahoo
  • Microsoft
  • PayPal
  • GitHub

 

Compartilhar: