O bug Heartbleed, causado por um erro no software para proteção de dados OpenSSL, pode ter um sucessor nem tanto pela forma técnica como ele ocorreu, mas pelo estrago que pode causar: trata-se do Covert Redirect, brecha existente em duas ferramentas de login muito utilizadas, o OpenID e o OAuth.

Covert Redirect, o novo Heartbleed

Covert Redirect: Facebook usa ferramentas afetadas

De acordo com publicação do site de notícias CNET, a falha permite que golpes se disfarcem em pop-ups de verificação. Um site autêntico, que pode ser usado no golpe, pode gerar uma janela pedindo que o internauta autorize algum aplicativo, por exemplo. Caso ele aceite, isso já é suficiente para o ataque da praga virtual.

Entre as informações que podem ser roubadas com o Covert Redirect estão dados básicos, como nome completo e data de nascimento, até a lista de contatos e endereço de e-mail. Em alguns casos o criminoso digital pode até controlar o perfil da pessoa por meio do bug.

O erro foi descoberto pelo estudante de doutorado da Nanyang Technological University, de Cingapura, Wang Jing. Vários sites utilizam OpenID e OAuth, entre eles estão: Facebook, Microsoft, Google, LinkedIn, Yahoo!, PayPal, QQ, Weibo, VK, GitHub, entre muitos outros..

  • Paulo Sollo

    Essa falha aparece de repente no site solicitando o Login ,como pop-ups ,propagandas?Ou está sendo explorado os botões nativos do sites para logins?