Ricardo Martins, pentester e pesquisador de segurança da informação, fundador MITI Security, estava recebendo muitas mensagens de André Aguiar, também pesquisador de segurança e desenvolvedor na MITI Security. André queria tirar algumas dúvidas sobre uma demanda urgente, por isso, estava mandando mais mensagens que o normal. Ocupado e irritado com a situação, Ricardo resolveu excluir a conversa, mas André continuou mandando mensagens que foram aparecendo em novas janelas, foi quando ambos perceberam que haviam acabado de descobrir um bug de código no sistema de mensagens do LinkedIn.
- Quase 11 mil alarmes inteligentes continuam vulneráveis a ataques remotos na Europa
- CEO do Signal encontra vulnerabilidades críticas em solução forense da Cellebrite
- Exclusivo: hacker revela como foi identificar brechas no sistema da Fiocruz
Segundo os pesquisadores, este erro no serviço de mensagens do LinkedIn é muito simples e também, muito fácil de resolver. Ele permite que qualquer usuário envie spam no LinkedIn de forma massiva (e automatizada, caso seja necessário), até travar o navegador, para qualquer outro usuário adicionado às conexões. Embora não seja uma falha de segurança, spam em massa pode ser usado para perturbar, assustar e enganar usuários.
“Tudo começou quando Ricardo entrou em contato comigo, me pedindo para desenvolver um software específico. Conforme fui desenvolvendo foram surgindo algumas dúvidas, então entrei em contato pelo LinkedIn, mandei uma mensagem, ele não respondeu, mandei duas, ele não respondeu, três mensagens e ele não respondeu, comecei a spammar mensagem, até que ele me ligou, pedindo para que eu parasse de mandar mensagem, já que tinha excluído a janela do chat e uma outra janela continuava aparecendo. Foi quando a gente percebeu que era uma falha e começamos a explorar ela”, disse André, à The Hack.
“É uma coisa muito simples. No entanto, é uma possibilidade de qualquer pessoa fazer um spam em massa. Mesmo que um usuário bloqueie o atacante que está enviando os spams, a vítima ainda vai ter que lidar com todas aquelas mensagens que já foram enviadas, já que cada mensagem é uma janela diferente, como se fossem mensagens de usuários diferentes”, diz Ricardo.
A falha foi descoberta no dia 17/05 e reportada ao LinkedIn no dia 22/05. No entanto, não foi considerada pela equipe de segurança da rede social, que garante ter controle de sua plataforma. “Reportei e eles disseram que não é uma falha de segurança e que possuem total controle sobre a plataforma”, revela Ricardo.
A falha
Ricardo explica que este é um problema muito fácil de explorar, não é necessário nenhum conhecimento técnico, nem mesmo abrir as ferramentas de desenvolvedor do navegador. O problema existe porque o sistema de mensagens do LinkedIn possui funções não unificadas. Para resolver este problema, basta centralizar as funções.
“A função de enviar mensagem é diferente da função de caixa de mensagens (chat), que fica na direita da tela. São serviços desmembrados, então quando alguém manda uma mensagem pelo botão de mandar mensagem direta e [se aproveitando da vulnerabilidade], uma janela de chat começa a aparecer para cada mensagem e esse processo pode ser automatizado com scripts”, explica Ricardo.
Veja como é a experiência da vítima, na prática:
“Para resolver esse problema é muito simples, basta unificar as funções de mandar mensagem direta, com o chatbox da direita. Unificando os serviços, não é mais possível mandar spam em massa. É importante lembrar que essa não é uma vulnerabilidade de segurança, mas apenas um bug de código, um detalhe. Mas um detalhe que permite mandar spam em massa, assustar as pessoas, travar o navegador delas e por aí vai”, explica Ricardo.
Para o envio do relatório para o LinkedIn, os pesquisadores desenvolveram uma script de automação do ataque, que mandou uma quantidade assustadora de mensagens, que fez o navegador de Ricardo travar.
"Ele [André] resolveu desenvolver um script que faz isso de forma automática, chegando a lotar minha caixa com mais de duas mil mensagens. Meu navegador travou e tive que apagar uma por uma, manualmente", conclui Ricardo.
O pesquisador lembra também, que usuários com o LinkedIn Premium, podem enviar mensagens para pessoas que não são contatos adicionados. Sendo assim, pode ser possível enviar spam em massa e travar o navegador de qualquer usuário que estiver online no LinkedIn no momento do ataque.
A The Hack entrou em contato com o LinkedIn, mas ainda não obteve resposta.