Sites famosos ditos seguros podem ser inseguros
Há um mês, foi divulgada uma vulnerabilidade que afetaria contas do GMail, permitindo acesso a dados supostamente protegidos. Segundo o descobridor da falha, entretanto, o problema parece abranger muito mais sites.
Segundo o portal de notícias Slashdot.org, o pesquisador Mike Perry, especialista em segurança, declarou que, ao contrário do que vinha sendo divulgado até então, a falha não é exclusividade o Google. Perry declarou ter decidido divulgar a falha ao público em geral trinta dias após sua apresentação na conferência DEFCON 16: "[Chegou a hora de] liberar a ferramenta para um grupo de usuários maior. Nem a ferramenta nem o ataque são específicos do GMail e, em verdade, muitos outros sites estão vulneráveis". O especialista acusa a maioria dos sites que usam criptografia SSL para garantir "conexões seguras" (mais conhecidas como HTTPS) de não implementar a tecnologia como se deve e, assim, aumentar - em vez de diminuir - o risco de ataques e de comprometer a confidencialidade dos dados dos internautas.A falha é ainda mais grave porque acomete também empresas que usam as conexões seguras para proteger transações bancárias ou de compra com cartão de crédito. O pesquisador publicou uma lista parcial, disponível
aqui, com os sites em que a vulnerabilidade foi encontrada.
Airlines/Travel
southwest.com Credit Card and addresses available
united.com Credit Card and addresses available
expedia.com Credit Card and addresses available
usairways.com Secure cookies not needed for address, billing information+CC, and security questions and answers
Banks
bankofamerica.com Mandatory session ID in url, but may leak via referrer
usaa.com Homebrew session control prevents direct attack but has nebulous security properties
patelco.com Fully insecure?
discovercard.com Fully insecure
Domain Registrars
register.com Addresses, partial CC info, full domain control
namesecure.com Addresses, partial CC info, full domain control
Miscellaneous Merchants
netflix.com Full payment information, rental history, address
newegg.com Session ID in url for payment, but not address information
store.apple.com URL session id, but may leak via refferer
ebay.com Secure cookies not needed for access to payment+address info
Google Services
docs.google.com
finance.google.com
google search history
blogger.com
Miscellaneous Services
filesanywhere.com
Sites Vulnerable to 'Sidejacking' (no SSL past login)
This is a list of sites that have been vulnerable to
Robert Graham's SideJacking tool, which has been circulating in the wild for a full year. This attack can be performed both by a passive attacker that grabs cookies or site traffic while you visit these sites, and an active attacker that injects page elements to grab the cookies for these sites even if you do not visit them.
mail.yahoo.com
mail.live.com
facebook.com
livejournal.com
del.icio.us
myspace.com
flickr.com
twitter.com
zoomr.com
linkedin.com "Account settings" protected, but can still create, join, and leave groups, read+send messages, edit the profile, and add+remove contacts
ebay.com (for some limited functionality)
Again, this is an unofficial list. Corrections and additions are encouraged!
Grandes empresas figuram na lista, entre elas a loja online da Apple, eBay, United Airlines, Bank of America e Register.com.Grandes portais como o MySpace, Yahoo!, Windows Live da Microsoft, Facebook, Flickr e Twitter, além de vários serviços do Google como o GMail e o Blogger, também são vulneráveis.Perry convida todos os proprietários de sites que usam conexões seguras do tipo HTTPS a enviarem um email solicitando mais informações e uma cópia da ferramenta. O pesquisador também quer distribuir a ferramenta a todos os profissionais e consultores de segurança interessados. "A ferramenta pode ser usada para encorajar seus clientes a implementarem o SSL corretamente", completa Perry, "e até mesmo fazer com que novos fregueses apareçam".O blog de Perry possui mais informações sobre a falha e a maneira de explorá-la, e pode ser acessado
aqui. Para solicitar a ferramenta, envie um email para mikeperry [arroba] fscked.org com a palavra "CookieMonster" no assunto, sem as aspas e sem espaço (grafia do email obfuscada a pedido de Perry).
Fonte: Geek / Fscked