O hacker-ético Gabriel Pato divulgou uma grave brecha de segurança do webmail UOL — e possivelmente UOL Host. Após 1 ano e 7 meses de negligência, Gabriel foi a público para descrever como os usuários do e-mail UOL podem ser ter suas contas roubadas ao abrir um e-mail malicioso.
A vulnerabilidade expõe toda a base de usuários do e-mail UOL e produtos derivados dele, como o UOL Host, BOL e Zip. Basta que o e-mail malicioso seja aberto dentro do webmail UOL para que o usuário se torne mais uma vítima do hacker e tenha todos os seus e-mails redirecionados para uma conta de domínio do atacante.
Essa brecha ocorre por uma vulnerabilidade técnica de cross-site scripting (XSS) — a mesma utilizada por Arthur Carrenho para rodar Minecraft no site do Supremo Tribunal Federal. Resumidamente, o cliente do webmail não oferece proteção contra a inserção de scripts dentro de e-mails e isso acarreta sérias consequências.
Um dos grandes perigos dessa brecha é o “roubo” dos e-mails direcionados para a conta. Ao garantir que um script malicioso seja enviado e aberto pela vítima, o hacker pode roubar o token de verificação do alvo e direcionar todos os seus e-mails para qualquer conta que desejar. Assim, e-mails de verificação de conta e redefinições de senha estarão nas mãos do hacker.
O webmail UOL pode não ser tão popular atualmente, mas a vulnerabilidade se torna ainda maior quando mencionamos outros produtos relacionados a ele. O UOL Host, por exemplo, é um serviço de domínio personalizado da companhia e tem webmail visualmente semelhante ao e-mail comum, indicando que também pode estar expondo seus usuários aos ataques.
Uma descoberta acidental
Gabriel estava preparando seu texto para uma palestra de técnicas de segurança quando encontrou essa grave vulnerabilidade no webmail da UOL. Com curiosidade, ele tentou explorar a técnica de cross-site scripting (XSS) em um e-mail de teste e, surpreendentemente, obteve sucesso.
O youtuber começou com um simples script para a exibição de um erro pelo navegador. Diante disso, Gabriel decidiu explorar a falha e entender como ela poderia prejudicar o usuário do webmail UOL, descobrindo a ferramenta de redirecionamento logo em seguida.
Diante da gravidade do problema, Gabriel optou por denunciar a falha ao Grupo UOL para que corrigissem o quanto antes — mesmo sabendo que não receberia qualquer recompensa. Recentemente, ele tentou explorar a falha novamente e viu que não tinha sido corrigida.
Vulnerabilidade sem vítimas registradas
O TecMundo entrou em contato com o UOL para buscar informações sobre possíveis vítimas dessas vulnerabilidades, mas declararam que a falha nunca foi explorada. “O UOL informa que a vulnerabilidade reportada não gerou nenhum incidente de segurança nos seus serviços de e-mail. A base dos usuários do UOL e os e-mails de seus clientes não foram acessados por ninguém.”, alegaram por e-mail.
Em seguida, o UOL afirma que segue “rígidos protocolos de segurança” e a equipe de segurança está atenta a denúncias de eventuais fragilidades em seus sistemas.
Como se proteger?
Segundo Gabriel, basta utilizar outra plataforma para se proteger dessa falha. Uma sugestão dada pelo youtuber é utilizar o Outlook ou aplicativos de celular para visualizar os e-mails e configurá-los via IMAP ou Pop3/SMTP — que são protocolos de gerenciamento de correio eletrônico.
Fontes
Categorias