>>>
- Advertisment -
Inicio Brasil Após deixar falha no Gmail aberta por 4 meses, Google implementa solução em 7 horas

Após deixar falha no Gmail aberta por 4 meses, Google implementa solução em 7 horas

-

1 de 2
Google foi comunicado sobre falha em abril, mas deixou problema em aberto por 137 dias. — Foto: Baz Ratner / Reuters

Google foi comunicado sobre falha em abril, mas deixou problema em aberto por 137 dias. — Foto: Baz Ratner / Reuters

O Google corrigiu uma falha no Gmail sete horas após uma especialista em segurança revelar publicamente os detalhes técnicos do problema em seu blog.

A mesma especialista, a programadora Allison Husain, havia comunicado a falha ao Google no dia 3 de abril, mas a empresa não tomou nenhuma atitude nos quatro meses seguintes.

O erro não permitia acesso a nenhuma conta do Gmail. Em vez disso, era possível usar uma configuração no G Suite – o serviço de e-mail empresarial do Google – para redirecionar mensagens para outros endereços.

O e-mail redirecionado sairia da infraestrutura do Google com parâmetros de autenticação idênticos aos de uma mensagem legítima.

Dessa forma, hackers poderiam não só enviar e-mails em nome dos funcionários de uma empresa ou instituição que usasse o G Suite, mas também burlar os mecanismos que buscam coibir a falsificação de remetentes.

Embora o e-mail “tradicional” não tenha nenhuma proteção para verificar remetentes, a maioria dos provedores de e-mail hoje adota tecnologias que permitem notificar os destinatários ou até bloquear mensagens que podem ter sido falsificadas.

O método desenvolvido por Husain permitiria enviar e-mails falsos que não seriam identificados por esses recursos de segurança.

2 de 2 Provedores de e-mail podem alertar quando o remetente de uma mensagem parece ter sido forjado. Por meio da falha de encaminhamento descoberta no Gmail, esse mecanismo seria burlado. — Foto: Foto: Reprodução

Provedores de e-mail podem alertar quando o remetente de uma mensagem parece ter sido forjado. Por meio da falha de encaminhamento descoberta no Gmail, esse mecanismo seria burlado. — Foto: Foto: Reprodução

Para explorar a falha, o hacker precisaria configurar uma conta no G Suite. Mas, como o serviço pode ser contratado por qualquer pessoa, esse não seria um grande obstáculo.

Procurado pelo blog, o Google afirmou que não comentaria o assunto.

Por que é possível receber e-mails do seu próprio endereço?

Por que é possível receber e-mails do seu próprio endereço?

De 30 dias para 7 horas

Husain decidiu avisar ao Google que iria publicar os detalhes da falha no dia 17 de agosto, tendo em vista os 120 dias transcorridos desde o primeiro contato em abril. Dar esse prazo é uma prática comum no setor de segurança.

Segundo Husain, o Google informou que a correção não estaria no ar antes do dia 17 de setembro – um mês após a data prevista para publicação.

A especialista acabou publicando os detalhes do problema no dia 19, dois dias após o previsto. Sete horas após a publicação, o Google implementou uma solução para coibir a exploração do erro.

‘Golpe do e-mail’

Embora a falha descoberta por Husain não fosse capaz de comprometer diretamente as mensagens armazenadas em uma conta do Gmail ou G Suite, golpistas têm explorado serviços de e-mails corporativos para falsificar mensagens com solicitações de pagamentos, convencendo empresas a transferir dinheiro para suas contas.

A fraude, conhecida como “Business Email Compromise” (BEC), foi responsável por prejuízos que somaram US$ 1,7 bilhão em 2019, de acordo com o FBI.

No passado, o próprio Google chegou a ser vítima do golpe – junto de outras empresas de tecnologia, como o Facebook.

Hackers são muitas vezes obrigados a registrar empresas de fachada ou invadir contas de e-mail para enviar mensagens convincentes.

Uma falha que permita enviar e-mails aparentemente legítimos em nome de outra pessoa, sem invadir a conta, poderia facilitar essa etapa do golpe.

Mesmo assim, não há qualquer evidência de que a brecha tenha sido explorada em ataques reais.

Google dá prazo de 90 dias

O Google possui um time de especialistas que encontra brechas em serviços e aplicativos de terceiros. Chamada de “Projeto Zero”, a equipe dá um prazo de 90 dias para que empresas desenvolvam uma solução dos problemas antes de abrir o conteúdo das denúncias.

Portanto, o Google estourou o prazo que ele próprio estipula para outros prestadores de serviço e desenvolvedores de software.

A prática de revelar todos os detalhes de uma vulnerabilidade antes mesmo de ela ser corrigida é chamada de “full disclosure”. Adeptos do “full disclosure” argumentam que é a única maneira de pressionar as empresas a corrigir falhas rapidamente.

A quantidade de falhas reveladas em “full disclosure” tem dado lugar ao chamado “responsible disclosure”, no qual as informações técnicas vêm a público apenas após uma vulnerabilidade ser corrigida.

Os programas de recompensa por falhas (ou “bug bounty”), que pagam os pesquisadores independentes pelas descobertas, proíbem a divulgação antecipada e tem contribuído para o sigilo das denúncias.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Últimos Posts

Diesel sobe pela 7ª semana seguida nos postos do Brasil; gasolina também avança

Diesel aumentou cerca de R$ 0,10 em alguns postos...

Pilotos de avião que atuem na crise no AM podem ultrapassar limite de tempo de voo, diz Anac

A Agência Nacional de Aviação Civil (Anac) decidiu nesta sexta-feira (15) que pilotos de avião que...

Governo volta a zerar imposto de importação de cilindros de oxigênio

O Comitê Executivo de Gestão da Câmara de Comércio Exterior (Camex), do Ministério da Economia, decidiu...

Twitter diz que post de Bolsonaro sobre ‘tratamento precoce’ da Covid viola regras da plataforma, mas mantém a mensagem no ar

O Twitter colocou por volta das 20h desta sexta-feira (15) uma marcação no post do presidente...
- Advertisement -

NRA, associação que faz lobby pró-armas nos EUA, pede falência

Encontro anual da NRA em Indianápolis, nos EUA, em...

Bolsa dos EUA fecham em baixa com pressão de ações de bancos e energia

Os principais índices de Wall Street encerraram em queda nesta sexta-feira (15), sob o peso dos...

Leitura Obrigatoria

- Advertisement -
- Advertisement -

Você também pode gostar dissoRelacionado
Recomendado para você