Vulnerabilidade em conexões HTTPS afeta quase mil sites, incluindo MercadoLivre

Por Redação | 10.02.2017 às 10:50

Nesta quinta-feira (09) foi descoberta uma nova vulnerabilidade em conexões HTTPS que afeta quase mil sites, que podem estar vazando dados sensíveis de seus usuários em todo o mundo.

A falha está relacionada ao uso de alguns firewalls e balanceadores de carga BIG-IP da F5 e pode ser explorada ao enviar pacotes específicos de dados aos sites vulneráveis. Com isso, os cibercriminosos conseguem obter "pedaços" de dados armazenados nos servidores desses sites e "montar" informações sensíveis após algumas requisições bem-sucedidas.

O analista de segurança Filippo Valsorda disse ao Ars Technica que os indivíduos mal-intencionados ainda podem obter as chaves de criptografia utilizadas pelas conexões dos usuários e tomar suas sessões HTTPS que supostamente deveriam ser seguras. Embora detalhe a falha, Valsorda não revelou quais sites estão expostos ao problema, mas uma ferramenta indicada por ele no documento em que revela o problema indica alguns sites, incluindo o MercadoLivre no Brasil em outros países da América Latina:

  • www.aktuality.sk
  • www.ancestry.com
  • www.ancestry.co.uk
  • www.blesk.cz
  • www.clarin.com
  • www.findagrave.com
  • www.mercadolibre.com.ar
  • www.mercadolibre.com.co
  • www.mercadolibre.com.mx
  • www.mercadolibre.com.pe
  • www.mercadolibre.com.ve
  • www.mercadolivre.com.br
  • www.netteller.com
  • www.paychex.com

O analista, que trabalha para a Cloudflare, também não detalha em seu documento quais tipos de dados podem ser extraídos da vulnerabilidade. Ainda de acordo com ele, a descoberta foi feita sem querer enquanto ele e um colega analisavam algumas mensagens de erro recebidas de clientes que utilizam os equipamentos da F5.

As suspeitas são de que esta nova falha forneça informações tão sensíveis quanto a falha Heartbleed que afetou a biblioteca de criptografia OpenSSL em 2014 e deixou muita gente preocupada. A diferença é que, por ser uma tecnologia open source, o OpenSSL recebeu correções em um tempo razoável, algo que não deve se repetir neste caso por envolver tecnologia proprietária.

Fonte: Ars Technica