Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

30/09/2008 - ComputerWorld Escrever Comentário Enviar Notícia por e-mail Feed RSS

Falha crítica de HTML atinge portais como o do New York Times


A falha de codificação, chamada cross-site request forgery (CSRF – falsificação de pedido entre sites), permite que um criminoso ataque um portal para atingir a vítima, e que já está logada no site, podendo acessar as informações pessoais do usuário.

O portal do jornal New York Times ainda está vulnerável. O YouTube, o portal de blogs MetaFilter e o banco ING Direct corrigiram a falha de codificação.

Em um ensaio acadêmico, os professores William Zeller e Edward Felten disseram que as falhas de CSRF foram ignoradas pelos desenvolvedores por falta de conhecimento sobre a seriedade do problema.

Como acontece o ataque

Diversos sites legítimos armazenam informações pessoais do internauta em um cookie ou em um arquivo de dados quando a pessoa se loga no portal. Estas informações são requisitadas novamente para checagem, como durante o processo de uma compra online, por exemplo.

Durante o ataque de CSRF, um cracker envia esse pedido de checagem para o portal legítimo que - sem saber identificar que se trata de uma fraude - envia os dados pessoais do usuário.

"A causa principal que gerou o CSRF e outras vulnerabilidades está na complexidade dos protocolos de web e da evolução gradual da web como local de apresentação de dados para uma plataforma de serviços interativos," defende o ensaio.

No portal do The New York Times, o cracker pode conseguir o endereço de e-mail de quem está logado no portal. Esse endereço pode se tornar destinatário de spam.

No dia 24 de setembro, a falha não foi corrigida, apesar dos pesquisadores terem notificado o jornal em setembro de 2007.

O problema no portal do ING foi mais sério. Zeller e Felten escreveram que a falha CSRF permite que uma outra conta corrente seja criada em nome da vítima. Além disso, um cracker poderia transferir o dinheiro para a sua própria conta. Os especialistas afirmam que o ING corrigiu o problema depois de notificado.

No site do MetaFile, a falha permite acesso à senha do usuário. Já no YouTube, um ataque permite adicionar vídeos na lista de favoritos do usuário e mandar mensagens para outros usuários. Nos dois portais, as falhas foram corrigidas segundo os pesquisadores.

Aparentemente, as falhas de CSRF são fáceis de serem achadas e corrigidas. Os autores do estudo indicam os detalhes técnicos para isso no ensaio. Eles também criaram um plug-in adicional para o Firefox para que os usuários se defendam de alguns tipos de ataques CSRF.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 195 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal