Abertura em API do Hotmail permite assumir controle de contas no Facebook

Por Felipe Demartini | 21 de Maio de 2019 às 12h55
Shutterstock

Uma exploração cruzada permite que indivíduos maliciosos assumam o controle de contas no Facebook por meio do sistema de recuperação de senha do Hotmail. A abertura acontece quando um perfil na rede social está registrado com um e-mail que não existe no serviço de correio eletrônico, seja por erro de digitação, desconhecimento do usuário ou reciclagem de endereços.

O processo se aproveita de informações públicas disponíveis no Facebook e foi reportado ao Canaltech pelo técnico em redes Mateus Gomes. Usando uma ferramenta chamada FBI (Facebook Information), disponibilizada no GitHub, ele foi capaz de extrair uma relação de e-mails utilizados por usuários da rede social e, na sequência, comparar a lista com e-mails inexistentes no Hotmail, utilizando força bruta contra uma API do serviço, que diz de forma indefinida se um login digitado existe ou não.

De acordo com o relato de Gomes, a exploração começou a partir de um perfil legítimo no Facebook, a partir do qual mil e-mails foram extraídos usando o FBI, sendo 500 do Hotmail. Essa lista, quando verificada via API do serviço de correio eletrônico por meio de força bruta, revelou que 50 dos endereços registrados não existiam, mas possuíam uma conta ativa na rede social. A partir deles, uma criação sucessiva de contas poderia ocorrer, com mais e mais extração de informações, deixando vulneráveis todos aqueles que estão em tais condições.

Além disso, afirma Gomes, tudo pode acontecer em questão de horas, com sistemas automatizados rodando em nuvens gratuitas fazendo todo o trabalho de extração das informações da rede social e verificação dos e-mails na API do Hotmail. O sistema da Microsoft até possui salvaguardas contra ataques de força bruta, mas caso as tentativas sejam feitas com intervalos definidos, em vez de serem sequenciais, é possível abusar da verificação indefinidamente.

Ataque de força bruta permite comprar listas de e-mails com endereços inexistentes no Hotmail, permitindo exploração de contas

“O Hotmail mantém uma API vulnerável a força bruta, que diz de forma ilimitada qual endereço existe ou não a partir de uma lista prévia. Já o Facebook erra quando permite que uma conta que não teve essa informação confirmada permaneça em sua base de dados, mesmo que o e-mail não exista”. Para o especialista, ambas são brechas que permitiriam uma exploração. “Caso seja utilizada em larga escala, a abertura pode prejudicar milhões de contas da rede social, além de contatos e outros serviços ligados àquele e-mail”, completa.

As formas de uso são diversas. Um atacante poderia, por exemplo, invadir um perfil de forma direcionada para obter informações cadastradas ou conversas enviadas pelo Messenger. Por meio do controle sobre o e-mail, também é possível tentar intrusões semelhantes em outros serviços cadastrados nele, através do mesmo método da recuperação de senha, além de usar os perfis e contas obtidos para enviar spam, phishing ou malware em busca de infectar ou roubar dados de mais e mais usuários.

Origens antigas

A abertura relatada pelo especialista é descoberta recente, mas suas raízes estão fincadas há mais de 20 anos, quando a Microsoft comprou o Hotmail, em 1998. Na ocasião, a ideia era fazer frente à AOL com o lançamento de um serviço próprio de e-mail gratuito, que ganhou popularidade ao ser exigido para a criação de uma conta no MSN, por exemplo. Anos depois, em 2012, a companhia anunciou o “fim” do Hotmail e pediu para que seus usuários migrassem para o Outlook, marca que existe até hoje.

A palavra aparece entre aspas pois esse fim, na realidade, é relativo. As contas @hotmail.com não desapareceriam caso o usuário não quisesse se desfazer delas, mas isso poderia acontecer caso ele decidisse migrar para o Outlook, enquanto todas passariam a ser acessadas pela nova interface unificada de correio eletrônico da companhia. É nesse processo de mudança e encerramento de perfis que está um dos grandes caminhos da exploração reportado agora ao Canaltech.

Migração do Hotmail para Outlook, em 2012, tornou milhares de contas inexistentes, o que abriu as portas para exploração (Imagem: Divulgação/Microsoft)

Quem apontou para isso foi Emilio Simoni, diretor do dfndr lab, o laboratório de segurança digital da PSafe. Segundo ele, o episódio nem mesmo pode ser considerado uma falha de segurança nos serviços, apesar de permitir que alguém mal-intencionado utilize os e-mails inativos para exploração. “Em tese, qualquer site cadastrado anteriormente com um endereço do Hotmail descontinuado pelo antigo dono poderia ser alvo”, explica.

O problema, segundo ele, está no fato de a Microsoft permitir que um novo dono registre um domínio migrado, que passa a estar disponível novamente pelo serviço. Ainda de acordo com Simoni, o ideal seria que a empresa mantivesse como válido o antigo e-mail para evitar que terceiros tomassem posse dele posteriormente.

Essa é uma posição assumida, também, pelo próprio Facebook. Em comunicado enviado ao Canaltech, a rede social afirma que este não é um bug em seus sistemas e que não tem como saber quando um endereço ligado a uma conta deixa de ser utilizado ou é reciclado pelos provadores originais. O ideal é que o próprio usuário atualize seu cadastro caso troque de e-mail, de forma a manter seu perfil sempre seguro.

A rede social também aponta como solução um protocolo desenvolvido internamente, o RRVS (Require-Recipient-Valid-Since), lançado em 2014 para ser um padrão da indústria. A tecnologia pode ser adotada por provedores de e-mail e serviços online para reconhecer mudanças de propriedade nos e-mails e impedir que indivíduos mal-intencionados tomem o controle deles para invasão de contas ou obtenção de informações pessoais

O Facebook esclarece, ainda, que todas as contas criadas e ativas na rede social obrigatoriamente passam por uma verificação, que também pode ser realizada pelo telefone. “Temos mais de 2,3 bilhões de pessoas usando a plataforma em todo o mundo, e em alguns lugares celulares são mais comuns que e-mail. Nossa prioridade é garantir que tenhamos um ponto de contato válido para acionar as pessoas e prover suporte, quando necessário”, explica o comunicado. Nestes casos, a validação do e-mail deixa de ser obrigatória. Caso ela não aconteça por nenhum dos dois meios, os perfis são desativados automaticamente em sete dias, permanecendo assim até que passem pelo processo.

Protegendo a própria conta

Ativar a autenticação em dois fatores e atualzar contas antigas são bons caminhos para não ter as contas comprometidas por explorações desse tipo

Também em contato com o Canaltech, a Microsoft afirmou que o cenário descrito por Mateus Gomes não representa uma vulnerabilidade de segurança, mas sim o uso de técnicas de força bruta para obtenção de informações e contas abandonadas. De acordo com a empresa, explorações desse tipo podem ser realizadas por pessoas mal-intencionadas em qualquer provedor de correio eletrônico usando métodos comuns.

Mais uma vez, o pedido é para que os usuários prestem atenção em suas contas e cadastros durante o processo de migração ou reciclagem de endereços de correio. “As pessoas podem evitar se tornarem vítimas desse tipo de cenário adotando boas práticas online, como utilizar senhas fortes e diferenciadas, autenticações multifator e a atualização de perfis com endereços atuais”, finaliza a Microsoft.

Estas, aliás, são medidas básicas, que devem ser tomadas por qualquer usuário de redes sociais, mensageiros ou outros serviços em que informações pessoais sensíveis são trafegadas. No caso de contas antigas, é fácil se esquecer de velhos cadastros ou credenciais, mas o uso de autenticação em duas etapas ou métodos de verificação adicionais ao login simples por e-mail e senha são suficientes para proteger as contas de intrusão.

Além disso, é sempre importante prestar atenção na digitação, pois enganos podem acontecer. Muitas plataformas não solicitam que o e-mail seja inserido duas vezes, como normalmente acontece com senhas, e basta uma tecla errada para que uma conta fique permanentemente registrada com um endereço inexistente, principalmente em casos como os citados pelo Facebook, em que a verificação de autenticidade acontece por outros meios.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.