Através de um email de um recrutador do Google, o matemático norte-americano Zach Harris, de 35 anos, descobriu, acidentalmente, sérios problemas de segurança no serviço de email oferecido pela empresa.
O principal deles é o uso de uma chave de 512 bits, relativamente fraca e facilmente "quebrável" por um usuário mal-intencionado. Esta vulnerabilidade está presente nos principais serviços de email como GMail e Yahoo, passando por outros sites mais conhecidos como o microblog Twitter, além do Paypal, voltado para comércio eletrônico.
A chave, usada para autenticação de um remetente da mensagem de email foi quebrada por Harris, que simulou o seguinte teste: após quebrar a chave de segurança com a ajuda de um servidor da Amazon, mandou uma mensagem para o atual presidente do Google, Larry Page, fingindo ser Sergey Brin, co-fundador da empresa. Este "teste" aparentemente surtiu efeito. Dias depois, a chave de segurança foi trocada para uma de 2048 bits, muito mais segura e impossível de ser quebrada usando os métodos convencionais.
O mesmo foi constatado pelo matemático nos domínios de sites como Paypal, Apple, Yahoo, Dell, Linkedin, Twitter, e vários outros. A chave de criptografia fraca permite a um usuário mal intencionado que envie emails fajutos, com um selo de autenticidade, fingindo ser autênticos.
Este não é o primeiro caso de problemas com chaves de criptografia relatado. No ano de 2010, um especialista em segurança percebeu falha semelhante no domínio utilizado pelo Facebook para seus empregados. No entanto, a descoberta de Harris deve servir de motivador para que as grandes empresas revejam suas políticas de segurança e implementem soluções para troca de mensagem ainda mais seguras.
Nenhum comentário:
Postar um comentário