Uma falha de segurança no site do jornal The New York Times permitia que um usuário mal-intencionado redirecionasse o endereço do jornal para um site malicioso, a fim de aplicar golpes virtuais. A Linha Defensiva comunicou a existência do problema ao New York Times no dia 25/10, mas ele só foi corrigido na sexta-feira passada (2).

A Linha Defensiva tomou conhecimento do problema através de denúncias feitas ao ARIS-LD, o grupo de Análise e Resposta a Incidentes de Segurança. Devido à demora de mais de dois meses para corrigir a vulnerabilidade, a mesma foi utilizada extensivamente, especialmente através de mensagens no Orkut e e-mails fraudulentos.

ARIS/LD

Link era longo e impedia visibilidade do endereço verdadeiro

Os links maliciosos exploravam uma brecha no redirecionamento de anúncios publicitários, permitindo que fosse injetado no endereço do New York TImes um código que, por não ser filtrado corretamente, redirecionava a vítima para outro site, onde haviam mensagens falsas convidando a vítima a baixar o banker, camuflado geralmente como cartões virtuais. Em outros casos, a caixa de download do arquivo já era exibida ao clicar no link.

Uma falha semelhante a esta corrigida no site do jornal também existe no Google Imagens.

Compartilhar |  Imprimir

Um comentário | Falhas