Falha Grave de Segurança em mises.org.br Coloca Inscritos em Risco

Falha Grave de Segurança em mises.org.br Coloca Inscritos em Risco

wbk!#$4

mises.org.br é o domínio do site do conhecido Instituto Mises Brasil, "uma associação voltada à produção e à disseminação de estudos econômicos e de ciências sociais que promovam os princípios de livre mercado e de uma sociedade livre.". No dia 29 de Julho de 2020, foi identificada uma vulnerabilidade grave que coloca em risco todos os inscritos na newsletter do site, ou mesmo qualquer um que acompanhe o trabalho deles. Leia até o fim para entender a falha e suas consequências.

IMPORTANTE

No mesmo dia 29 de Julho, tentei entrar em contato com os responsáveis pelo domínio via e-mail e Twitter. Não tive resposta até o último dia 10 de Outubro, quando mandei novamente mensagens pelos mesmos meios. Ainda sem resposta, e visto que a falha pode causar problemas aos leitores do portal, esta divulgação tem o objetivo de forçar uma resposta/correção por parte do mises.org.br

Em suma, Mail Spoofing é uma falha de segurança classificada como grave ou crítica. Acontece quando o servidor de emails não possui boas configurações de SPF (Sender Policy Framework). Isto é, o servidor não verifica quem está enviando uma mensagem, o que permite à qualquer pessoa mandar mensagens em nome deste servidor. Observe as imagens abaixo, elas mostram um e-mail legítimo enviado pela newsletter de mises.org.br:

Preste atenção no cabeçalho, com nome e email do remetente.


As imagens foram retiradas de um vídeo no qual demonstro a exploração da falha. Este vídeo não foi divulgado, mas está à disposição da equipe do Instituto Mises, caso entrem em contato.


Por si só, a mensagem não possui nenhum mecanismo de segurança, sendo uma página HTML simples. Dito isso, clicando no texto Visualizar como Página Web no topo da mensagem, temos acesso total ao conteúdo. Desta forma, um criminoso poderia alterar somente um link de determinada imagem (como mostrado no vídeo), redirecionando usuários à endereços maliciosos. Como este é um alerta, façamos uma alteração visível, como um parágrafo da mensagem:

Linha 367: trecho original.
Parágrafo alterado.

Existem várias ferramentas para explorações deste tipo, como o King Phisher, GoPhish, entre outras. No entanto, o domínio não apresenta nenhuma ferramenta de proteção. Logo, podemos utilizar uma aplicação web simples para falsificar uma mensagem. Abaixo, mostro a configuração feita em um dos milhares de sites que oferecem gratuitamente o serviço de mail spoofing:

Em mail spoofing, é comum que criminosos usem endereços de email semelhantes aos do alvo. Neste caso, estamos usando não só o endereço verdadeiro, como também o próprio servidor da mises.org.br


Configurada a mensagem, basta verificar o CAPTCHA e enviar:

Ambas as mensagens na caixa de entrada. Não fosse o horário, você saberia dizer qual delas é falsa?



Esta é nossa mensagem falsa. Perceba novamente os detalhes do remetente: mesmo nome, mesmo email.
Eis nossa alteração visível.

E cá estamos, uma falha considerada grave ou crítica em plataformas de bug bounty. Problemas como este permitem que um criminoso envie mensagens com perfeição, extremamente difíceis de detectar, capazes de causar sérios danos aos leitores do portal. E danos maiores ainda à este, pois a imagem da instituição sofre.

Este texto foi escrito em 9 de Novembro de 2020. Durante os próximos dias, ou até pronunciamento do portal, recomendo que todos os leitores ignorem e-mails enviados pela plataforma. Isto inclui e-mails relacionados ao problema. É comum que criminosos enviem alertas sobre phishing dentro de emails com phishing. Aguardem um pronunciamento em outras redes sociais.

O vídeo da exploração está disponível para os responsáveis pelo domínio.

Basta entrar em contato pelo email wbks4@protonmail.ch ou pelo Telegram: @wbks4

No mais, obrigado pela atenção. Mantenham-se em segurança.

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org