quinta-feira, 9 de outubro de 2014

G1: Yahoo admite que sofreu invasão, mas nega acesso a dados


Empresa também negou relação com o bug 'shellshock'.
Evidência de invasão foi encontrada por especialista.
O Yahoo confirmou que alguns de seus servidores foram comprometidos por hackers que teriam explorado uma brecha em um código usado pela seção de esportes do portal. Alex Stamos, executivo de segurança da informação da companhia, deixou uma postagem no site "Hacker News" na terça-feira (7) admitindo a invasão e relatando informações sobre a investigação do problema.

A brecha foi identificada pelo especialista em segurança Jonathan Hall, presidente da Future Technologies. Hall realizava uma análise de servidores vulneráveis à falha de segurança "Shellshock". Ele identificou um servidor vulnerável do software WinZip e, lá, encontrou arquivos que apontavam para uma invasão ao Yahoo, feita pelo mesmo grupo e usando, supostamente, a mesma falha – a Shellshock.

O Shellshock é uma brecha encontrada recentemente que permite a hackers executarem comandos em computadores que tiverem uma versão vulnerável do software "Bash". O "Bash" é usado em diversos sistemas operacionais baseados em Unix, tais como o Linux e o Mac OS X. Ele é muito comum em servidores de internet. Uma vez que um ponto vulnerável foi encontrado, a exploração da falha é bastante simples.

Stamos negou que hackers tenham explorado o bug Shellshock para invadir os servidores doYahoo. O código usado, no entanto, era similar. De acordo com ele, os invasores teriam modificado o método de exploração para conseguir burlar programas de proteção, como firewalls. Com essa modificação, o código dos hackers acidentalmente tornou-se capaz de também explorar uma brecha não relacionada num programa do Yahoo.

Como os servidores só forneciam dados para a seção de esportes do portal, eles não tinham nenhuma informação de usuários, tais como e-mails, explicou Stamos.

O executivo do Yahoo também criticou Hall por não ter entrado em contato com a empresa por meio do programa de recompensas. No programa, a companhia se compromete em pagar pesquisadores que encontrarem brechas nos serviços do portal.

Em seu texto original, Hall dizia que o Yahoo não dispunha de um canal para receber essas informações. Desde a publicação de Stamos, Hall ainda criticou as explicações dadas pela empresa e disse que, em sua opinião, os dados de usuários do Yahoo ainda não estão seguros.

Nenhum comentário:

Postar um comentário

deixe aqui seu comentário