Cuidado: e-mail inativo pode facilitar a invasão de sua conta no Facebook

Por Redação | 14.05.2013 às 15:43

Se você abandonou sua conta do Hotmail e a deixou esquecida, tome cuidado! Serviços vinculados a ela podem estar vulneráveis. Neste momento, cerca de um milhão de contas do Facebook estão vulneráveis a um método de sequestro muito simples, que não exige nenhuma habilidade de programação ou qualquer outro tipo de conhecimento avançado.

Quem emitiu o alerta foram pesquisadores de segurança da Universidade de Rutgers, em Nova Jersey (Estados Unidos). Segundo eles, as contas do Hotmail que ficam inativas por 270 dias são aposentadas pela Microsoft, que libera os endereços de e-mail para novos usuários que os solicitarem. Como o Facebook utiliza endereços de e-mail no login, pessoas mal intencionadas podem conseguir acessar a conta de qualquer um que utilize um endereço de e-mail expirado como login na rede social.

Como saber se você está vulnerável

Para descobrir se um endereço do serviço de e-mails da Microsoft expirou, basta simplesmente enviar um e-mail para ele como teste. Caso ele retorne com uma mensagem dizendo que a caixa de correio desejada está indisponível, já é meio caminho andado. Importar contatos do Facebook para o Windows Live Messenger facilita ainda mais o trabalho, porque automaticamente, durante esse processo, o sistema diz quais usuários estão com seus endereços de e-mail expirados.

Como se dá o ataque

Depois de escolher sua vítima, o invasor precisa apenas se inscrever no Hotmail e solicitar o endereço de e-mail que ele já sabe que está expirado. Para acessar o Facebook, basta entrar com o endereço no login e dizer que esqueceu a senha, aguardar um e-mail de confirmação para redefinir a conta da rede social e sequestrá-la.

Um membro da equipe do Hotmail disse ao site New Scientist que "quando alguém para de usar uma conta da Microsoft, devia também desassociá-la de todos os outros serviços da internet". Outros serviços online podem ter uma vulnerabilidade similar, mas o que sabemos é que o Google, por exemplo, não recicla endereços de e-mail inativos.

A equipe de pesquisadores responsável pela divulgação dessas informações deve falar sobre essa brecha na segurança do Hotmail durante a 22ª edição da World Wide Web Conference, conhecida como a maior conferência web do mundo, que acontece esta semana no Rio de Janeiro.