Meio Bit » Baú » Internet » Falha de segurança no OkCupid permite acessar contas sem login

Falha de segurança no OkCupid permite acessar contas sem login

No caso do OkCupid, o link traz um token que dispensa a senha e dá acesso direto, não importa quantas vezes ou de que computador o link seja acessado.

20/08/2013 às 18:23

OkCupid

Crédito da imagem: OkCupid, sério.

Essa deve ser a Semana Internacional das Falhas de Segurança, senão vejamos: app store, Twitter, LastPass, Facebook e agora o OkCupid.

E é apenas terça-feira.

Para quem não sabe, OkCupid é o site de encontros preferido do povo que usa tênis verde e óculos vermelhos, os mesmos que usam o Facebook como um muro das lamentações classe média, você conhece o tipo. Lá todos comunicam-se em inglês, como sofisticados nova-iorquinos.

Mesmo morando em Coronel Bicaco.

Mas vamos ao que interessa. Adrianne Jeffries, redatora do The Verge, descobriu uma falha que permite um usuário logar-se a qualquer conta como se fosse o titular, desde que clique no link que é enviado por email quando algum candidato(a) aparece.

Ela recebeu um email encaminhado por uma amiga, enviado pelo OkCupid por que um membro do site estava interessado nela. No final havia um link para acesso rápido ao perfil, Jeffries clicou e viu-se logada na conta da amiga, podendo editar, ver todos os dados possíveis e até mesmo deletar a conta.

Esse tipo de link é enviado pela maioria das redes sociais, mas você precisa digitar sua senha para ter acesso, caso não esteja logado. No caso do OkCupid, o link traz um token que dispensa a senha e dá acesso direto, não importa quantas vezes ou de que computador o link seja acessado.

Também não existe proteção contra tentativas de acesso por força bruta. Um hacker poderia gerar infinitas urls até encontrar correspondentes a contas existentes.

A maior reclamação dos usuários do serviço, no entanto, é que as pessoas encaminham emails contento esses links para os amigos, sem saber do risco que estão correndo:

Quando recebi meu primeiro email com um link para login instantâneo eu encaminhei para uma amiga, para falar sobre o site. Ela descobriu na hora que podia entrar em minha conta pelo link e me avisou. Mas e se não fosse alguém tão próximo?

O token de login eventualmente expira, mas leva tempo, tempo suficiente para alguém fazer um estrago. O maior problema é que dificilmente alguém lembra se estava logado ou não ao clicar no link, e o problema passa despercebido.

Fonte: The Verge

relacionados


Comentários