Brecha no site do Vaticano permitia publicação de notícias falsas
Uma notícia publicada no site do Vaticano afirma que o Papa Francisco havia acabado de declarar que Deus, na realidade, é uma cebola. Mas não se trata de uma piada, mas sim de uma invasão realizada pelo especialista em segurança Inti De Ceukelaire, que demonstrou na prática uma vulnerabilidade que permite a postagem de notícias falsas no site da sede da Igreja Católica.
O texto utilizava o layout da própria página do Vaticano e suas URLs oficiais, podendo passar como uma publicação real. A diferença é que ela foi feita por uma técnica chamada cross site scripting, ou XSS, que permite a injeção de código malicioso ou conteúdos não autorizados em páginas web a partir de vulnerabilidades no banco de dados.
Neste caso, De Ceukelaire apenas publicou uma notícia, mas a prática pode levar a danos maiores. Por mais que ela não seja capaz de, efetivamente, executar códigos no computador dos usuários, a presença de um link malicioso em um site grande pode ser usada, por exemplo, para a propagação de malwares ou tentativas de fraudes, uma vez que tais indicações aparecerão em um serviço de confiança.
Como explicou o especialista, trata-se de uma prática que se assemelha bastante à engenharia social, já que depende de enganar os utilizadores, fazendo-os acreditar em uma aparência de legitimidade, para que o golpe funcione. Ainda assim, em veículos grandes como o do Vaticano, mesmo um pequeno alcance pode ser grande o suficiente para merecer atenção.
De Ceukelaire não disse como descobriu a vulnerabilidade, mas afirmou que, antes de revelá-la publicamente, tentou contato com os especialistas que trabalham para a Igreja Católica. Ele conta ter sido ignorado nove vezes, com seu último contato sendo realizado ao final de janeiro, quando ele informou aos envolvidos que faria a divulgação pública de sua descoberta.
Esse também é um procedimento comum nesse tipo de descoberta. A ética hacker sugere que os responsáveis pela localização de uma falha informem aos responsáveis sobre ela, para que a brecha seja resolvida antes da divulgação. Caso isso não aconteça, é hora de vir a público com o achado justamente como forma de forçar uma resolução, já que agora, basicamente qualquer pessoa com as ferramentas certas pode se aproveitar da vulnerabilidade.
O Vaticano não se pronunciou sobre o caso, mas retirou a notícia sobre a cebola divina do ar. Não se sabe, porém, se a falha que permite a injeção de notícias falsas em seus sistemas já foi corrigida.