Falha no Flickr permitia publicar fotos nas contas de outros usuários
Quando a gente acha que os problemas de segurança no Yahoo cessaram, outro vem à tona. Pelo menos este não é (muito) grave e já foi corrigido: uma vulnerabilidade no sistema de uploads do Flickr possibilitava que fotos fossem indevidamente publicadas na conta de praticamente qualquer usuário.
Já pensou em acessar a sua conta e encontrar ali uma foto que não é sua? Não há relatos de que isso tenha acontecido, até porque, aparentemente, o problema foi corrigido antes que alguém tivesse a chance de explorá-lo. Mas a falha é, no mínimo, curiosa e serve de alerta para a importância de dar atenção aos menores detalhes no desenvolvimento de um sistema.
Pois bem, o problema em questão foi descoberto por um jovem com conhecimentos avançados em segurança que se identifica como Jazzy. Usando o Flickr, ele percebeu que o serviço tem uma função que permite publicar fotos e vídeos por email. Basta enviar o conteúdo a um endereço de email único criado automaticamente para cada usuário.
Essa é uma funcionalidade útil para alguns usuários. Porém, qualquer pessoa que tiver o endereço de email de uma conta conseguirá fazer uma publicação nela. Isso não é uma falha, portanto, convém ao usuário ter cuidado. Por conta disso, Jazzy se perguntou se não haveria uma forma de obter uma lista desses emails.
Jazzy não conseguiu burlar a segurança do Flickr para acessar a base de dados. No entanto, ele descobriu que o usuário pode pedir para o serviço gerar um email novo para substituir o anterior. Depois de realizar esse procedimento várias vezes, Jazzy percebeu que os emails eram gerados seguindo um padrão:
[palavra aleatória][número aleatório de 0 a 100][palavra aleatória]@photos.flickr.com
Na sequência, Jazzy criou um script em Python que gerou 23.692 endereços no serviço durante uma noite. Com outro script, ele descobriu que todos esses emails foram gerados com base em um conjunto de apenas 935 palavras do dicionário (em inglês), todas com até seis caracteres.
O padrão usava duas palavras definidas a partir de 935 opções e um número de 0 a 100. Jazzy fez então a conta 935 * 935 * 100 e concluiu que o sistema pode gerar, com a fórmula, mais de 87 milhões de endereços. Só que o Flickr tem 50 milhões de contas, aproximadamente. Um script baseado na mesma fórmula poderia ser desenvolvido para gerar os 87 milhões de emails, cada um tendo mais de 50% de chance de corresponder ao endereço verdadeiro de um usuário.
Leia também: Todas as 3 bilhões de contas do Yahoo foram afetadas em ataque
Bom, com essa lista de emails, uma pessoa poderia, em tese, publicar uma imagem em milhões de contas de uma só vez. Mas Jazzy estava participando do programa Yahoo Bug Bounty e, portanto, simplesmente reportou o problema à companhia.
A falha foi confirmada pelo Yahoo, corrigida prontamente e depois recompensada — nos comentários do post sobre o assunto, Jazzy afirma ter recebido US$ 4 mil.
Só resta saber se essa correção é mesmo eficaz: em um teste rápido aqui, os emails gerados tiveram apenas mais um número e uma palavra do dicionário em inglês adicionadas.
Com informações: The Next Web