Dois pesquisadores de segurança publicaram detalhes sobre ataques Cross-Site Request Forgery (CSRF) que afetam alguns dos maiores sites da web. Os detalhes deixam claro que os ataques CSRF já não são algo restrito aos cantos obscuros da Internet, mas poderiam sim afetar praticamente qualquer página.
Antes, a maioria das ameaças online poderiam ser evitadas por usuários com mais conhecimento técnico - ou que não são enganados por e-mails de phishing e sites falsos. Mas isto já não é mais verdade, já que os ataques CSRF são transparentes ao usuário e podem vir de sites que você normalmente confiaria.
Por exemplo, os sites detalhados no relatório dos especialistas Ed Felten e Bill Zeller são o ING Direct, YouTube, MetaFilter e o New York Times. O mais perturbador é o ataque do ING Direct, que possibilita que os atacantes transfiram fundos para fora de sua conta bancária.
Felizmente, Felten e Zeller relataram todas as vulnerabilidades aos administradores dos sites e as falhas foram corrigidas. Todas menos a do New York Times, que foi reportada um ano atrás e ainda não foi corrigida.
Neste caso específico do New York Times, o ataque é utilizado para obtenção de endereços de e-mail legítimos.
Mais informações
