Acesso a contas do Facebook e Twitter por falha no Internet Explorer


Cookiejacking

COOKIEJACKING

Encontrada falha no navegador Internet Explorer, da Microsoft, que pode permitir a hackers roubar credenciais de acesso a Facebook, Twitter e outros sites. Especialistas em segurança na rede chamam a técnica de “cookiejacking”.

“Qualquer site. Qualquer cookie. O limite está em sua imaginação”, disse Rosario Valotta, um pesquisador independente de segurança na internet que trabalha na Itália.

Hackers poderiam explorar a falha para ganhar acesso a arquivos armazenados pelo navegador conhecidos como cookies, alguns dos quais contêm nomes de usuário e senhas para uma conta na web, afirmou Valotta.

Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta.

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.

Para explorar a falha, o hacker precisa persuadir a vítima a arrastar e soltar um objeto pela tela do computador, antes que o cookie possa ser sequestrado.

A tarefa parece difícil, mas Valotta disse que conseguiu realizá-la com certa facilidade. Ele criou um quebra-cabeças no Facebook que desafiava os usuários a “despir” a foto de uma mulher atraente.

“Coloquei o jogo no Facebook e, em menos de três dias, naus de 80 cookies foram enviados ao meu servidor”, disse. “E só tenho 150 amigos em minha lista.”

A Microsoft afirmou que é “pequeno” o risco de um hacker obter sucesso com um golpe de cookiejacking no mundo real.

“Dado o requerido nível de interação do usuário, a questão não é vista por nós como de alto risco”, disse Jerry Bryant, porta-voz da companhia.

“Para que seja afetado, um usuário precisaria visitar um site malicioso e ser convencido a clicar e arrastar itens pela página, e o atacante teria que alvejar um coookie de um site ao qual o usuário estivesse conectado naquele momento”, disse Bryant.

* FSP/Tech, Via Boston

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *