Vulnerabilidade permitia enviar e-mail ‘autêntico’ em nome de outras pessoas, mesmo sem acesso à conta do Gmail
O Google corrigiu uma falha no Gmail sete horas após uma especialista em segurança revelar publicamente os detalhes técnicos do problema em seu blog.
A mesma especialista, a programadora Allison Husain, havia comunicado a falha ao Google no dia 3 de abril, mas a empresa não tomou nenhuma atitude nos quatro meses seguintes.
O erro não permitia acesso a nenhuma conta do Gmail. Em vez disso, era possível usar uma configuração no G Suite – o serviço de e-mail empresarial do Google – para redirecionar mensagens para outros endereços.
O e-mail redirecionado sairia da infraestrutura do Google com parâmetros de autenticação idênticos aos de uma mensagem legítima.
Dessa forma, hackers poderiam não só enviar e-mails em nome dos funcionários de uma empresa ou instituição que usasse o G Suite, mas também burlar os mecanismos que buscam coibir a falsificação de remetentes.
Embora o e-mail “tradicional” não tenha nenhuma proteção para verificar remetentes, a maioria dos provedores de e-mail hoje adota tecnologias que permitem notificar os destinatários ou até bloquear mensagens que podem ter sido falsificadas.
O método desenvolvido por Husain permitiria enviar e-mails falsos que não seriam identificados por esses recursos de segurança.
Para explorar a falha, o hacker precisaria configurar uma conta no G Suite. Mas, como o serviço pode ser contratado por qualquer pessoa, esse não seria um grande obstáculo.
De 30 dias para 7 horas
Husain decidiu avisar ao Google que iria publicar os detalhes da falha no dia 17 de agosto, tendo em vista os 120 dias transcorridos desde o primeiro contato em abril. Dar esse prazo é uma prática comum no setor de segurança.
Segundo Husain, o Google informou que a correção não estaria no ar antes do dia 17 de setembro – um mês após a data prevista para publicação.
A especialista acabou publicando os detalhes do problema no dia 19, dois dias após o previsto. Sete horas após a publicação, o Google implementou uma solução para coibir a exploração do erro.
‘Golpe do e-mail’
Embora a falha descoberta por Husain não fosse capaz de comprometer diretamente as mensagens armazenadas em uma conta do Gmail ou G Suite, golpistas têm explorado serviços de e-mails corporativos para falsificar mensagens com solicitações de pagamentos, convencendo empresas a transferir dinheiro para suas contas.
A fraude, conhecida como “Business Email Compromise” (BEC), foi responsável por prejuízos que somaram US$ 1,7 bilhão em 2019, de acordo com o FBI.
No passado, o próprio Google chegou a ser vítima do golpe – junto de outras empresas de tecnologia, como o Facebook.
Hackers são muitas vezes obrigados a registrar empresas de fachada ou invadir contas de e-mail para enviar mensagens convincentes.
Uma falha que permita enviar e-mails aparentemente legítimos em nome de outra pessoa, sem invadir a conta, poderia facilitar essa etapa do golpe.
Mesmo assim, não há qualquer evidência de que a brecha tenha sido explorada em ataques reais.
Google dá prazo de 90 dias
O Google possui um time de especialistas que encontra brechas em serviços e aplicativos de terceiros. Chamada de “Projeto Zero”, a equipe dá um prazo de 90 dias para que empresas desenvolvam uma solução dos problemas antes de abrir o conteúdo das denúncias.
Portanto, o Google estourou o prazo que ele próprio estipula para outros prestadores de serviço e desenvolvedores de software.
A prática de revelar todos os detalhes de uma vulnerabilidade antes mesmo de ela ser corrigida é chamada de “full disclosure”. Adeptos do “full disclosure” argumentam que é a única maneira de pressionar as empresas a corrigir falhas rapidamente.
A quantidade de falhas reveladas em “full disclosure” tem dado lugar ao chamado “responsible disclosure”, no qual as informações técnicas vêm a público apenas após uma vulnerabilidade ser corrigida.
Os programas de recompensa por falhas (ou “bug bounty”), que pagam os pesquisadores independentes pelas descobertas, proíbem a divulgação antecipada e tem contribuído para o sigilo das denúncias.
Fonte: G1
Imagem: Background photo created by jannoon028 – www.freepik.com