Vulnerabilidade em conexões HTTPS afeta quase mil sites, incluindo MercadoLivre
Por Jones Oliveira | 10 de Fevereiro de 2017 às 10h50
Nesta quinta-feira (09) foi descoberta uma nova vulnerabilidade em conexões HTTPS que afeta quase mil sites, que podem estar vazando dados sensíveis de seus usuários em todo o mundo.
A falha está relacionada ao uso de alguns firewalls e balanceadores de carga BIG-IP da F5 e pode ser explorada ao enviar pacotes específicos de dados aos sites vulneráveis. Com isso, os cibercriminosos conseguem obter "pedaços" de dados armazenados nos servidores desses sites e "montar" informações sensíveis após algumas requisições bem-sucedidas.
O analista de segurança Filippo Valsorda disse ao Ars Technica que os indivíduos mal-intencionados ainda podem obter as chaves de criptografia utilizadas pelas conexões dos usuários e tomar suas sessões HTTPS que supostamente deveriam ser seguras. Embora detalhe a falha, Valsorda não revelou quais sites estão expostos ao problema, mas uma ferramenta indicada por ele no documento em que revela o problema indica alguns sites, incluindo o MercadoLivre no Brasil em outros países da América Latina:
- www.aktuality.sk
- www.ancestry.com
- www.ancestry.co.uk
- www.blesk.cz
- www.clarin.com
- www.findagrave.com
- www.mercadolibre.com.ar
- www.mercadolibre.com.co
- www.mercadolibre.com.mx
- www.mercadolibre.com.pe
- www.mercadolibre.com.ve
- www.mercadolivre.com.br
- www.netteller.com
- www.paychex.com
O analista, que trabalha para a Cloudflare, também não detalha em seu documento quais tipos de dados podem ser extraídos da vulnerabilidade. Ainda de acordo com ele, a descoberta foi feita sem querer enquanto ele e um colega analisavam algumas mensagens de erro recebidas de clientes que utilizam os equipamentos da F5.
As suspeitas são de que esta nova falha forneça informações tão sensíveis quanto a falha Heartbleed que afetou a biblioteca de criptografia OpenSSL em 2014 e deixou muita gente preocupada. A diferença é que, por ser uma tecnologia open source, o OpenSSL recebeu correções em um tempo razoável, algo que não deve se repetir neste caso por envolver tecnologia proprietária.
Fonte: Ars Technica