A web ainda se recupera do Heartbleed, uma das maiores falhas de segurança já registradas, com um bug no OpenSSL. No entanto, outra brecha foi encontrada em outras ferramentas de login extremamente difundidas: o OAuth e o OpenID, usados por gigantes como Facebook, Microsoft e Google.
O bug foi encontrado por Wang Jing, estudante de doutorado da Nanyang Technological University, em Cingapura. A vulnerabilidade, chamada de “Covert Redirect”, permite o disfarce da ameaça como um popup de login baseado no site afetado. Abaixo está a lista com os principais sites afetados.
Um exemplo dado pela CNET: um link malicioso de phishing pode gerar uma janela de popup do Facebook, pedindo autorização para um aplicativo. Assim, não é necessário nem mesmo usar um domínio falso para enganar a vítima; é possível usar o site real para autenticação.
Assim que o usuário autoriza o login, suas informações pessoais são enviadas diretamente para o cibercriminoso, em vez do site legítimo. Isso inclui endereços, data de nascimento, listas de contatos e, possivelmente, controle total da conta.
A dica para evitar problemas é a mesma de sempre: evitar clicar em links suspeitos que pedem a realização de um login imediato do Google ou Facebook. Caso o usuário acabe clicando no link, mas não fizer o login, seus dados devem permanecer seguros.
Fonte: http://olhardigital.uol.com.br/noticia/41785/41785
O bug foi encontrado por Wang Jing, estudante de doutorado da Nanyang Technological University, em Cingapura. A vulnerabilidade, chamada de “Covert Redirect”, permite o disfarce da ameaça como um popup de login baseado no site afetado. Abaixo está a lista com os principais sites afetados.
Um exemplo dado pela CNET: um link malicioso de phishing pode gerar uma janela de popup do Facebook, pedindo autorização para um aplicativo. Assim, não é necessário nem mesmo usar um domínio falso para enganar a vítima; é possível usar o site real para autenticação.
Assim que o usuário autoriza o login, suas informações pessoais são enviadas diretamente para o cibercriminoso, em vez do site legítimo. Isso inclui endereços, data de nascimento, listas de contatos e, possivelmente, controle total da conta.
A dica para evitar problemas é a mesma de sempre: evitar clicar em links suspeitos que pedem a realização de um login imediato do Google ou Facebook. Caso o usuário acabe clicando no link, mas não fizer o login, seus dados devem permanecer seguros.
Fonte: http://olhardigital.uol.com.br/noticia/41785/41785
Nenhum comentário:
Postar um comentário