Você já imaginou a sua conta do Gmail ser exposta apenas com o ID do seu canal no YouTube? Parece ficção científica, mas não é! Um pesquisador de segurança descobriu duas falhas no Google que permitiam exatamente isso. Vamos mergulhar nesse caso e entender como essa vulnerabilidade funcionava.
Duas Falhas, Um Problema Grande
Um pesquisador, conhecido como Brutecat, identificou duas vulnerabilidades no sistema do Google. Ao combiná-las, era possível obter o endereço de e-mail associado a um canal do YouTube.
A primeira falha estava na API de Pessoas do Google. A função de bloquear um usuário do YouTube utilizava um ID “Gaia” ofuscado. Esse ID é usado em vários serviços do Google. Bloquear alguém no YouTube também o bloqueava em outros serviços, usando o ID Gaia.
Brutecat sabia que já haviam bugs que permitiam encontrar o e-mail a partir do ID Gaia. Ele então procurou por esses links, encontrando um em uma versão web do app “Pixel Recorder”.
Explorando a Vulnerabilidade
Ao compartilhar uma gravação do Pixel Recorder para um ID Gaia e examinar a solicitação web, o e-mail do alvo era revelado. Normalemente, isso geraria uma notificação. Mas Brutecat usou um script Python com um nome de arquivo gigantesco para evitar a notificação.
O pesquisador relatou o problema ao Google, inicialmente recebendo uma recompensa de US$ 3.133. Após uma avaliação mais aprofundada, o Google aumentou a recompensa para US$ 10.633, reconhecendo a gravidade da vulnerabilidade.
Felizmente, o Google corrigiu as falhas. Mas essa história nos lembra da importância constante de segurança e auditorias em sistemas tão grandes.
Outras Notícias de Segurança
Vulnerabilidade Crítica em FortiOS
Uma vulnerabilidade crítica (CVSS 8.0) em FortiOS permitia a um administrador autenticado com permissões de Security Fabric escalar seus privilégios para superadministrador. A Fortinet já lançou correções.
Ataque à Cisco: Dados Vazados?
O grupo de ransomware Kraken alegou ter atacado a Cisco, vazando dados sensíveis. A Cisco, porém, afirma que o incidente ocorreu em 2022 e já foi resolvido.
Site do DOGE com Falhas de Segurança
O site doge.gov, criado pelo time de Elon Musk, apresentou falhas graves de segurança. Qualquer pessoa podia acessar e modificar o banco de dados do site, expondo potencialmente dados sensíveis e demonstrando uma preocupante falta de segurança em sua construção.
Ataque à Zacks: Dados de 12 Milhões de Usuários Expostos
Um ataque à Zacks Investment Research expôs informações de 12 milhões de usuários. Os dados vazados incluíam endereços de e-mail, IP e físicos, nomes, senhas (em hashes SHA-256 não protegidos) e números de telefone. Recomenda-se fortemente alterar suas senhas caso você seja cliente da Zacks.
FBI Combate Fraudes em Criptomoedas
O FBI relatou sucesso em uma operação que impediu mais de 4.300 pessoas de serem vítimas de golpes de investimento em criptomoedas, salvando mais de US$ 285 milhões. As fraudes geralmente envolvem contatos não solicitados, construção de confiança e falsas oportunidades de investimento.
Em resumo, a vulnerabilidade do Google, combinada com outras notícias de segurança, sublinha a necessidade constante de vigilância e boas práticas de segurança tanto para empresas quanto para usuários individuais. É fundamental ficar atento às atualizações de segurança e adotar hábitos responsáveis na internet.
Deixe seu comentário abaixo compartilhando suas experiências com segurança online!
Fonte: The Register
