Conheça nosso Grupo De Estudos!



Falha em site de segurança expõe 866 milhões de usuários e senhas.

Uma vulnerabilidade no serviço “Pwnedlist” da empresa de segurança Infoarmor permitia que qualquer pessoa cadastrada no serviço – que estava aberto para cadastros grátis até seis meses atrás – obtivesse todas as informações armazenadas no serviço, que guarda um total de 866 milhões de usuários e senhas. O problema foi revelado pelo site "KrebsOnSecurity" nesta segunda-feira (2).

O Pwnedlist é um serviço destinado a empresas para que elas monitorem quando algum usuário ou funcionário foi comprometido em um vazamento de informações. Para isso, o serviço reúne credenciais presentes em diversos outros vazamentos. Isso significa que os dados presentes já eram "públicos", de certa maneira. A ideia é que um responsável companhia "exemplo.com.br" possa cadastrar isso em sua conta para ver somente usuários com e-mails "@exemplo.com.br" que foram impactados por vazamentos.

No entanto, por causa de uma brecha no serviço, usuários podiam acrescentar quaisquer novos endereços à lista de monitoramento, mesmo não tendo permissão para acessar os dados daqueles endereços. O jornalista Brian Krebs, do "KrebsOnSecurity", conseguiu listar todas as informações roubadas de endereços de e-mail "apple.com", por exemplo, mesmo não tendo nenhuma relação com a Apple.

Em outras palavras, um serviço para o monitoramento de vazamentos se tornou a fonte de um vazamento. A brecha de segurança foi encontrada pelo especialista em segurança Bob Hodges e relatada a Krebs.

A empresa inicialmente duvidou da existência da falha, mas depois retirou o site do ar para "manutenção". Em um novo comunicado, deixado no site após ele voltar ao ar, a Infoarmor afirmou que o site Pwnedlist será desligado no dia 16 de maio.

Não há informação se todos os dados chegaram a ser obtidos por hackers antes da correção da falha.

"Fonte: G1!"