Uma grande nova vulnerabilidade foi descoberta nos protocolos de segurança OAuth 2.0 e OpenID enquanto a Internet ainda está se recuperando do bug Heartbleed.

Ph.D estudante Wang Jing da Universidade Tecnológica de Nanyang, em Cingapura, detectou um bug que permite que hackers usem técnicas de phishing em uma tentativa de roubar detalhes de login sem que os usuários saibam.

Leia mais: FlashVPN Free VPN Proxy

O bug essencialmente permite que os criminosos cibernéticos usem a autenticação de sites reais para alimentar um popup de phishing, em vez da tática mais comum de falsificação do domínio. No processo, os hackers receberão as credenciais de login do usuário.

A vulnerabilidade afeta muitos sites importantes, incluindo Facebook, Google, Yahoo, LinkedIn, PayPal e Microsoft..

Rastreamento de bugs

Facebook negou a ameaça quando contactado por Wang, sugerindo que seria impossível tapar o buraco no curto prazo. Outras empresas como Google e Microsoft estão rastreando o bug ou já concluíram investigações.

Uma solução alternativa envolveria o uso de uma lista de permissões para todos os aplicativos em um site, mas isso afetaria negativamente a experiência do usuário. Até que isso seja corrigido, os usuários são aconselhados a ter cuidado ao inserir detalhes de login em janelas pop-up solicitadas pelos aplicativos.

A vulnerabilidade vem na sequência do bug Heartbleed, visto por muitos como a pior ameaça à segurança para enfrentar a Internet. A maioria dos principais sites já o corrigiu, mas agora eles precisam se preocupar com outra dor de cabeça de segurança.

Via CNET

  • Heartbleed: 5 coisas que você precisa saber