Twitter, Microsoft, LinkedIn e Yahoo! abertos para sequestro de dados
Contas de usuários do Twitter, Linkedin, Yahoo! e Hotmail encontram-se atualmente vulneráveis para sequestro de dados graças a uma falha que permite que os cookies sejam roubados e reutilizados, de acordo com o pesquisador Narang Rishi. Todas as plataformas falham em não atribuir novas identidades de sessão, o que permite que um ataque de fixação de sessão ocorra nas contas que podem ser sequestradas. Veja o vídeo abaixo!
Um invasor precisaria interceptar cookies enquanto o usuário estivesse logado no serviço, uma vez que os cookies expiram quando o usuário encerra a sessão - com exceção do LinkedIn, que mantém seus cookies ativos por 3 meses, segundo explica o pesquisador. Sendo assim, invasores em posse do cookie correto teriam acesso irrestrito às contas, e pior: alterações de senha não impediriam o acesso.
A revista eletrônica SC Magazine repetiu a prova de conceito de Narang e foi capaz de acessar várias contas do Twitter inserindo o respectivo auth_token alfanumérico em cookies armazenados localmente no Twitter com a ajuda da extensão do navegador Cookie Manager.
Sabe-se que o Twitter tem conhecimento da vulnerabilidade. Microsoft Outlook e os serviços Live, bem como o Yahoo! também foram afetados, disse Narang. Twitter, Microsoft e Yahoo! utilizaram HTTPS para ajudar a mitigar o risco de que os cookies sejam remotamente interceptados, porém Narang revelou que isso não é o suficiente.
"Para mim, é um controle compensatório, não é uma correção para uma vulnerabilidade de gerenciamento de sessão" , disse Narang. "Há exemplos em que os cookies podem ser acessíveis para sequestrar sessões autenticadas. E estes cookies possuem dias, às vezes meses de idade. Como resultado, alguém pode conseguir acessar as contas que pertencem a indivíduos de diferentes locais do mundo" .
Chris Gatford, diretor da HackLabs, com base em Sydney e especializada em testes de penetração, ficou surpreso que essas grandes empresas deixassem a vulnerabilidade exposta. "É aplicativo web de segurança 101" , comentou. Ele disse ainda que outras técnicas de ataque seriam necessárias, a fim de roubar os cookies e ganhar acesso à conta de um local remoto. "O invasor poderia usar algum tipo de ataque de cruzamento de script (XSS) se não tivesse acesso físico à máquina" .
Durante os testes de penetração, Gatford encontrou muitas organizações expostas à vulnerabilidade mas que não conseguiu consertá-la depois de se tornarem cientes do problema. Ele disse que uma solução rápida para alguns frameworks complexos poderia ser a de utilizar dois cookies para o processo de login.
