Uma nova brecha de segurança promete causar dores de cabeça para usuários do Ashley Madison, o site de encontros voltado a traições e puladas de cerca. Pesquisadores descobriram que as fotos publicadas e marcadas como privadas podem ser acessadas facilmente por qualquer pessoa que possuir a URL do arquivo, mesmo que não possuam contas no serviço.
Estas imagens, em teoria, estariam bloqueadas por uma chave que deveria ser compartilhada apenas com autorização expressa do dono, mas a configuração da plataforma a dá automaticamente quando outro usuário fornece a sua.
/s.glbimg.com/po/tt2/f/original/2015/09/11/ashley-madison1.jpg)
A descoberta foi feita pelo pesquisador de segurança Matt Svensson, e envolve a forma como o próprio site trata o armazenamento de arquivos. Por padrão, o Ashley Madison possui dois tipos de fotos: as imagens públicas podem ser vistas por todos, enquanto as privadas estão protegidas por uma chave de segurança, que deve ser liberada pelo dono para que outros usuários as acessem.
O problema ocorre nas configurações do site, que, por padrão, liberam a chave de um usuário para qualquer conta que compartilhar a sua primeiro. Isto significa que é fácil uma pessoa ter acesso ao conteúdo privado de outra sem que ela saiba.
Para comprovar a relevância do problema, os pesquisadores criaram um programa que enviou automaticamente sua própria chave para uma parcela aleatória de cerca de 1 milhão de usuários que possuiam fotos privadas e descobriu que 64% deles retornavam as próprias chaves automaticamente.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2017/B/L/ekkRBYSMSqUY08Bc1rgw/tmp-cc7dc23fa355067ac2d5f2914b3a5417.png)
A mesma ferramenta está disponível em dois outros sites da Avid Life Media, desenvolvedora responsável pelo Ashley Madison, mas é desabilitada por padrão. A empresa foi informada do problema e respondeu que faz parte da forma com a qual ela pretende que o site opere e se recusou a mudar a opção, embora tenha limitado a quantidade de chaves que podem ser compartilhadas por dia.
Esta, porém, não é a única vulnerabilidade encontrada no sistema de fotos do Ashley Madison. A URL das imagens não é protegida e pode ser acessada por qualquer um que possua o endereço, mesmo que a pessoa não seja usuária do site. A única forma de proteção é uma modificação no nome do arquivo, que passa a ter 32 caracteres, o que dificulta a descoberta de fotos por acaso.
O Ashley Madison ficou conhecido em 2015, após o vazamento de um pacote com mais de 32 GB de dados de mais de 32 milhões de usuários, que incluía dados de identificação e cartões de crédito — causando o fim de casamentos.
Via MacKeeper
Dúvidas sobre segurança digital? Pergunte no Fórum do TechTudo.
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2022/v/6/1nij2OQPuyFBeCgCVW1g/istock-936338884-e1626902959770.jpg "Foto: (iStock)")
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2023/V/9/UFGauBTRAX9AfPVavbnw/techtudo-36-m.jpg "Foto: (Mariana Saguias/TechTudo)")
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/Y/e/KUmPBiSQ646sRVfg8j6w/yandexcapa.png "Foto: (Reprodução/FreePik/Master1305)")
/https://i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2022/7/K/3DWW1xRVAe6BLIDi5SXA/soundtrap-5wj-tk8-ens-unsplash.jpg "Foto: (Reprodução/Unsplash)")
