A Mozilla recebeu uma reclamação inesperada sobre um recurso do Firefox: o navegador estava informando que uma página de login insegura era… insegura. A queixa partiu do administrador de um portal de notícias especializado em gás e petróleo, que afirmava que o aviso de segurança foi colocado “sem permissão” no sistema de gerenciamento de conteúdo do site.

Tem tanta coisa errada que eu nem sei por onde começar.

Sempre que alguém entrava no formulário de login do Oil and Gas International, o Firefox mostrava um aviso embaixo do campo de senha: “Esta conexão não é segura. Logins inseridos aqui podem ser comprometidos”. Obviamente, isso não é um bug: o Chrome também mostra um aviso mais discreto, na barra de endereços, quando campos de senha ou cartões de crédito estão em uma página sem HTTPS.

A reclamação já foi removida do sistema de bugs da Mozilla, mas o Ars Technica obteve a mensagem, que dizia o seguinte: “Seu aviso de senha e/ou login inseguro aparecendo automaticamente no login do meu site, Oil and Gas International, é indesejado e foi colocado lá sem nossa permissão. Por favor, remova-o imediatamente. Temos nosso próprio sistema de segurança e ele nunca foi violado em mais de 15 anos. Seu aviso está causando preocupação em nossos assinantes e prejudica o nosso negócio”.

Claro que a história não para por aí: a página de assinatura do site de notícias, que solicita o número, código de segurança e validade do cartão de crédito do usuário, não é HTTPS. Todas essas informações sensíveis são transmitidas pela rede sem criptografia e podem ser roubadas por uma pessoa que estiver interceptando a conexão.

Tem mais: usuários do Reddit descobriram que o portal era vulnerável a ataques de SQL Injection. Bastava inserir uma aspa simples em um dos campos para que um erro detalhado do ASP.NET surgisse, revelando parte da estrutura do site. No momento em que escrevo este parágrafo, qualquer tentativa de login resulta em uma mensagem de erro de banco de dados, indicando que possivelmente alguém deletou a tabela de usuários do site.

Acho que o contador de 15 anos foi zerado.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Carlos Bacco
Boa questão. Não vou estender a thread muito por aqui, mas provavelmente eu também teria uma série de questionamentos que seria bem legal alguém com mais influência na mídia tentar obter mais informações. Apóio a idéia, e para o jornalista vai ser um prato cheio. Tem MUITA incongruência nos sistemas públicos, e uma dificuldade extrema de se obter informações (especialmente de maneira automatizada). Nem vou entrar no mérito da nossa certificação digital e as coisas "estranhas" da ICP Brasil, senão a conversa vai longe.
Ligeiro
Para mim, o fato de hoje os sistemas terem melhor compatibilidade é uma vantagem. Estou tendo problema com um sistema governamental que me pergunto porque nenhum jornalista de tecnologia vai atrás destas coisas.
Carlos Bacco
Só não melhoram a parte do usuário final e clientes, mas internamente talvez tenham bons sistemas. Enquanto isso a gente sofre com essas soluções fakes de segurança, e VANS de segunda categoria cuidando das nossas remessas e retornos.
Ligeiro
Os bancos tem melhorado razoavelmente. Bem mais a frente que serviços públicos, diga-se de passagem.
Carlos Bacco
Ligaram até pra mãe dele :)
Carlos Bacco
E bancos, não se esqueça.
Guilherme Brcontainer
Mas a falha não foi por parte do SSL, o login inseguro era uma falha mas de ponta a ponta e interceptação, algo totalmente relativo, agora a parte que deu merd* foi sobre a falha ao injetar um caractere sem "escapar" que disparava uma mensagem de erro que deveria ser somente exibida em ambiente de desenvolvimento (provavelmente o modo Debug estava ativado) o que fez exibir algumas partes da fonte do script. O problema foi assim: o Firefox passou a emitir uma mensagem em campos de login do qual a página não usa https ou https valido, o tal "dgeorge" abriu um solicitação de bug, mas na verdade não era uma mensagem de erro e sim uma orientação, alguns tentaram o orientar, mas ele provavelmente não entendia muito bem do assunto e continuou "batendo na mesma tecla", então a Mozilla para evitar qualquer problema futuro semelhante resolveu remover no Release seguinte a tal mensagem, mas ae vem a parte interessante, no momento que o tal dgeorge se expôs, alguns usuários ficaram curiosos e começaram a tentar "coisas", foi nisto que ao usar uma tentativa de sqlinjection que um deles notou que a query falha e o código era parcialmente exposto, o que pode ser muito útil para quem tem intenções ruins. SSL é segurança ponta a ponta não garante nada quanto SQLinjection, ataques por demanamda, ecommerces com https também não garante que o vendedor é confiavel, aquele papo que na TV que falam que tem que ter o "cadeadinho" pra um ecommerce ser seguro. Record e Globo em jornais já falaram essas asneiras. A segurança do SSL é apenas impedir a interceptação, outras medidas de segurança tem que ser tomada pelo programador e pelo usuário final. Boa noite, até mais o/
Juan de Souza
Acho que esqueceram de renovar o domínio, hahahaha
tiagocesar

Os frameworks mais recentes do .net até fazem isso automaticamente... Mas o que mais tem por aí é desenvolvedor prepotente sentado em cima da própria solução.

Tiago César
Os frameworks mais recentes do .net até fazem isso automaticamente... Mas o que mais tem por aí é desenvolvedor prepotente sentado em cima da própria solução.
Jaca

kkkkkkkk !!!! um certificado SSL hj em dia custa uma merreca ! Não era mais fácil ter instalado um do que passar esse carão todo ? e ainda por cima tá com o site hackeado, derrubado...se a preocupação do cara era perder clientes...então ele deve ter tido um derrame depois de tudo isso ! Mas o que esperar de empresas que usam IIS ???? https://uploads.disquscdn.c...

Jaca Paladium
kkkkkkkk !!!! um certificado SSL hj em dia custa uma merreca ! Não era mais fácil ter instalado um do que passar esse carão todo ? e ainda por cima tá com o site hackeado, derrubado...se a preocupação do cara era perder clientes...então ele deve ter tido um derrame depois de tudo isso ! Mas o que esperar de empresas que usam IIS ???? https://uploads.disquscdn.com/images/536d7118a0daff5fb49c573b84b5a1299873f91f5afb0bdbabf9731e55601d03.jpg
Jaca Paladium
kkkkkkkk !!!! um certificado SSL hj em dia custa uma merreca ! Não era mais fácil ter instalado um do que passar esse carão todo ? e ainda por cima tá com o site hackeado, derrubado...se a preocupação do cara era perder clientes...então ele deve ter tido um derrame depois de tudo isso ! Mas o que esperar de empresas que usam IIS ????
Tiago Silva Do Nascimento
Desculpa me enganei... Olhei em outro site que também funciona como web cache...
Banzeh
Segundo o cache do Google, a página estava no ar ontem (21/03/2017). http://webcache.googleusercontent.com/search?q=cache:8-PSelWDcnIJ:www.oilandgasinternational.com/+&cd=1&hl=pt-BR&ct=clnk&gl=br
Exibir mais comentários