3 eventos ao vivo

Brecha no site do Vaticano permitia publicação de notícias falsas

9 fev 2018
10h47
  • separator
  • comentários

Uma notícia publicada no site do Vaticano afirma que o Papa Francisco havia acabado de declarar que Deus, na realidade, é uma cebola. Mas não se trata de uma piada, mas sim de uma invasão realizada pelo especialista em segurança Inti De Ceukelaire, que demonstrou na prática uma vulnerabilidade que permite a postagem de notícias falsas no site da sede da Igreja Católica.

O texto utilizava o layout da própria página do Vaticano e suas URLs oficiais, podendo passar como uma publicação real. A diferença é que ela foi feita por uma técnica chamada cross site scripting, ou XSS, que permite a injeção de código malicioso ou conteúdos não autorizados em páginas web a partir de vulnerabilidades no banco de dados.

Neste caso, De Ceukelaire apenas publicou uma notícia, mas a prática pode levar a danos maiores. Por mais que ela não seja capaz de, efetivamente, executar códigos no computador dos usuários, a presença de um link malicioso em um site grande pode ser usada, por exemplo, para a propagação de malwares ou tentativas de fraudes, uma vez que tais indicações aparecerão em um serviço de confiança.

Falha de segurança permitia criação de notícias falsas no site do Vaticano (Reprodução: The Next Web)
Falha de segurança permitia criação de notícias falsas no site do Vaticano (Reprodução: The Next Web)
Foto: Canaltech

Como explicou o especialista, trata-se de uma prática que se assemelha bastante à engenharia social, já que depende de enganar os utilizadores, fazendo-os acreditar em uma aparência de legitimidade, para que o golpe funcione. Ainda assim, em veículos grandes como o do Vaticano, mesmo um pequeno alcance pode ser grande o suficiente para merecer atenção.

De Ceukelaire não disse como descobriu a vulnerabilidade, mas afirmou que, antes de revelá-la publicamente, tentou contato com os especialistas que trabalham para a Igreja Católica. Ele conta ter sido ignorado nove vezes, com seu último contato sendo realizado ao final de janeiro, quando ele informou aos envolvidos que faria a divulgação pública de sua descoberta.

Esse também é um procedimento comum nesse tipo de descoberta. A ética hacker sugere que os responsáveis pela localização de uma falha informem aos responsáveis sobre ela, para que a brecha seja resolvida antes da divulgação. Caso isso não aconteça, é hora de vir a público com o achado justamente como forma de forçar uma resolução, já que agora, basicamente qualquer pessoa com as ferramentas certas pode se aproveitar da vulnerabilidade.

O Vaticano não se pronunciou sobre o caso, mas retirou a notícia sobre a cebola divina do ar. Não se sabe, porém, se a falha que permite a injeção de notícias falsas em seus sistemas já foi corrigida.

Canaltech Canaltech

compartilhe

comente

  • comentários
publicidade
publicidade