Pisa no freio!

giphy.gif
 

A The Hack descobriu, com exclusividade, que um site gerenciado pela montadora Ford possuía uma falha de segurança que poderia ser utilizada por criminosos para obter controle total da página — as easy as that. Quem realizou a denúncia foi João Teles, membro do Data Group, um grupo de jovens especializados em segurança de infraestruturas críticas (ICS) e IoT. A companhia foi notificada pela equipe brasileira através da plataforma HackerOne, mas fechou o disclosure sem consertar o problema.

A brecha se localizava no subdomínio digitalsnippets.ford.com, que abriga um site construído em Wordpress e dedicado a armazenar fotos, vídeos, infográficos e outros conteúdos a respeito da marca para oito mercados distintos (Ásia-Pacífico, Austrália, Índia, Indonésia, Filipinas, Taiwan, Tailândia e Vietnã). A vulnerabilidade em questão residia em uma versão desatualizada do plugin WPML — uma extensão muito famosa usada para páginas que precisam estar disponíveis em múltiplos idiomas.

Embora o add-on já esteja em sua versão 4.2.3, o subdomínio ainda usava a edição 3.1.9, que é vulnerável a ataques SQL Injection (injeção de SQL). Usando tal método, os membros do Data Group conseguiram extrair uma cópia do banco de dados e acessar a lista com emails e hashes dos responsáveis pela página. Quebrando as hashes, seria possível obter a senha dos administradores do site, controlá-lo e infectá-lo com códigos que afetem o dispositivo dos visitantes — entre outras diversas possibilidades de golpes.

Trata-se de um clássico caso de negligência na instalação de patches de segurança: a tal falha já foi consertada há tempos pelo próprio WPML (a build 3.1.9 é de 2015!), mas a equipe responsável pelo subdomínio não parece estar muito preocupada em manter os scripts atualizados. Aliás, vale a pena observar também que o site em questão nem sequer possuía um certificado SSL.

A The Hack entrou em contato com a assessoria de imprensa da Ford e, embora a companhia não tenha nos enviado um posicionamento oficial a respeito do assunto, o Digital Snippets estava fora do ar (ao acessar o endereço, o visitante é redirecionado para o domínio principal da montadora).


While you were sleeping...

  • Em um relatório bastante curioso, pesquisadores norte-americanos estimaram que todo o conhecimento necessário para aprender (e falar) inglês não pesaria mais do que 1,5 MB caso nosso cérebro fosse um disco rígido.

  • A Apple revelou, em um evento no dia 25/03, seu cartão de crédito Apple Card, (minimalista, é óbvio!), uma plataforma de assinatura de games (Arcade), uma de jornais e revistas (News+) um app para séries inéditas (TV+).

  • O Parlamento Europeu aprovou a nova Diretiva de Direitos Autorais, famosa por apresentar regras um tanto abusivas para “proteger propriedades intelectuais”. Logo mais, todos os países da União Europeia terão que adotar as normas.

  • O Japão apresentou os robôs-assistentes que trabalharão nos Jogos Olímpicos de 2020 indicando assentos, carregando bebidas e dando informações aos visitantes do evento. Eles foram fabricados pela Toyota.

 
 
 

GOSTOU?

Se inscreva e receba nossa newsletter com mais conteúdos bacanas como este.

COMPARTILHa com a galera.