O e-mail da UOL tem falha que permite redirecionar mensagens para outra conta

Vulnerabilidade encontrada

Uma brecha de segurança gravíssima foi encontrada no UOL Mail, quem descobriu foi o pesquisador de segurança Gabriel Pato. Se o usuário abrir um e-mail malicioso, que aparenta estar vazio, o invasor poderá redirecionar todas as mensagens para outra conta, incluindo até pedidos de recuperação de senha.

Ou seja, apenas abrindo um e-mail você pode ter a sua segurança invadida e o acesso comprometido.

A plataforma continua vulnerável e a falha ainda existe, colocando em risco os dados e contas de todos os usuários que utilizam esses serviços.

Ou seja, apenas abrindo um e-mail você pode ter a sua segurança invadida e o acesso comprometido.

A plataforma continua vulnerável e a falha ainda existe, colocando em risco os dados e contas de todos os usuários que utilizam esses serviços.

 

Como a falha foi descoberta?

Gabriel Pato é youtuber de hacking e tecnologia, seu objetivo é encontrar vulnerabilidade em empresas e reportar isso, para que as falhas sejam corrigidas. Caso não haja a correção do problema e nem uma explicação, a falha é divulgada para o conhecimento do público.

Esta brecha no Webmail da UOL foi encontrada em 2018, quando Gabriel foi dar uma palestra de Cross-site Scripting. Muita gente acha que é uma falha do passado e já não acontece mais com tanta frequência.

Pelo contrário, existem muitos casos criativos e diferentes de Cross-site Scripting. Em um dos pontos da palestra, Gabriel comentou sobre os recursos dos sites que permitem os usuários inserirem elementos dinâmicos nas páginas, por exemplo, a formatação de texto, inserção de imagem, entre outros.

Cuidado! Falha grave no webmail da UOL

Freepik

O algoritmo interpreta esses elementos e transforma em HTML. E um dos cenários que utiliza isso são os e-mails.

Provavelmente você já usou alguma formatação de texto, como o negrito ou uma imagem no corpo de um e-mail, não é mesmo? Tudo isso é transformado em HTML. Só que na hora de exibir o e-mail recebido para o usuário, esse conteúdo precisa ser tratado. Não pode exibir todas as tags de HTML por motivos de segurança.

E aí Gabriel sugeriu uma reflexão, comentando se seria possível a aplicação de e-mail permitir usar a tag <script>, tag usada para escrever códigos javascript que vão ser executados na página. Se o houvesse a permissão, daria para enviar um e-mail a alguém e, quando essa pessoa abrisse o conteúdo, poderia executar códigos na sessão logada dessa pessoa. Permitindo ter acesso à conta e diversos recursos.

Então, o youtuber resolver fazer o teste básico no webmail da UOL. Supreendentemente a falha acontecia. Para saber mais sobre a descoberta, assista aqui a partir do minuto 7:30.

 

Por que se preocupar?

A falha pode parecer irrelevante, mas se analisarmos a UOL é um dos sites mais acessados pelos brasileiros. Outro motivo, é que o sistema de webmail não é usado apenas nos e-mails. Consequentemente, qualquer lugar que o utilize, essa falha pode existir.

Por isso, sempre fique atento com e-mails desconhecidos, principalmente ao usar o webmail da UOL. E claro, continue nos acompanhando para ficar sempre por dentro de novidades e assuntos relacionados a segurança na web.

 

Não esqueça de assinar a nossa newsletter!

Ligue para a EW Info e fale com um dos nossos especialistas para uma consultoria para sua empresa sem compromisso – (21)3203-0368.

Conheça também nossos serviços em: Antivírus – Bit Defender e Segurança da informação

Entre em contato
e saiba como a EW Info pode te atender
ewinfo@ewinfo.com.br

Freepik

Tecnologia # , , , , ,
Compartilhar:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Matérias recentes

Inscreva-se e receba novidades e soluções
de redes ou sistema para sua empresa

Soluções

Entre em contato com a EW Info