Hacker descobre falha grave no Google Docs e recebe R$ 16 mil

Views: 77
0 0
Read Time:1 Minute, 27 Second

Um hacker considerado “ético” auxiliou o Google a corrigir uma grave vulnerabilidade em sua suíte Documentos (mais famosa simplesmente como “Docs”).

Essa falha poderia ser explorada por criminosos cibernéticos para roubar dados sigilosos de documentos alheios. A brecha foi descoberta em julho de 2019 e só após uma longa conversa entre o pesquisador e a empresa, o bug foi recentemente corrigido nos produtos afetados. Esse problema estava no recurso “Ajude a melhorar o Documentos Google” (ou “Send feedback”, no original em inglês), projetado para que o internauta envie comentários, reclamações e sugestões para a companhia aprimorar o aplicativo. O usuário pode ainda anexar uma screenshot (captura de tela) caso queira explicar alguma proposta bem específica, como uma alteração em um menu, por exemplo.

De acordo com o pesquisador que se identifica como Sreeram KL, o erro do Google foi projetar essa funcionalidade como uma simples janela iFrame hospedada em outro subdomínio, que, no caso, é o feedback.googleusercontent.com. Isso significa que eventuais screenshots precisam ser transferidas do domínio principal para este secundário caso você queira enviar uma imagem para a empresa. Sreeram conseguiu interceptar essa comunicação e enviar a captura de tela para seu próprio servidor e domínio, roubando a imagem que possivelmente contém informações de cunho sensível. Claro, o ataque exige uma série de condições para funcionar (como um documento do Docs embutido em uma página maliciosa e a interação do usuário), mas ainda assim é preocupante.

O Google deu uma recompensa ao pesquisador com US$ 3,1 mil (cerca de R$ 16,3 mil) em seu programa de caça aos bugs.

A irregularidade foi corrigida em todos os aplicativos que eram afetados, de forma que não há motivos para se preocupar.

FONTE: RADIO GEEK

Previous post Setor de saúde teve aumento de 45% em ataques cibernéticos
Next post Agências dos EUA apontam ‘operação de inteligência russa’ como suspeita por invasão à SolarWinds

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *