Pesquisador descobre falha de segurança na UOL que permite acesso ao servidor de e-mail

Pesquisador descobre falha de segurança na UOL

Pesquisador descobre falha de segurança na UOL

O pesquisador de cybersegurança Fellip Melo percebeu que o serviço da UOL possuia uma vulnerabilidade que tornava possível enviar e-mails para qualquer pessoa utilizando o e-mail da UOL
Compartilhe

Pesquisador descobre falha de segurança na UOL que permite acesso ao servidor de e-mail

A UOL, a maior empresa brasileira de conteúdo, tecnologia, serviços e pagamentos digitais, apresenta uma falha de segurança grave em um de seus serviços. Durante a navegação em um dos portais da UOL, o pesquisar de cybersegurança Fellip Melo, identificou uma vulnerabilidade que permite a um cibercriminoso explorar um serviço interno da empresa vulnerável.

O pesquisador lembra que nenhum sistema é totalmente seguro e todos estão sujeitos a ameaças virtuais ou físicas. No entanto, medidas de segurança adequadas podem minimizar vulnerabilidades consideradas básicas, e a conscientização e o treinamento podem fortalecer a segurança da empresa.

Leia: WhatsApp Clonado: Meta deve pagar indenização a vítima brasileira

Quando se trata de segurança de aplicações, o impacto de cada vulnerabilidade é mais importante do que a quantidade ressalta o pesquisador, pois uma única vulnerabilidade crítica pode ser mais destrutiva do que várias vulnerabilidades de baixo impacto.

Durante a navegação do pesquisador no portal da UOL, que tinha como interesse entrar em contato com a equipe de mídia da empresa, foi necessário preencher um formulário de contato em um link abaixo do site.

No entanto, ao enviar o formulário de contato percebeu que o serviço da UOL possuia uma vulnerabilidade que tornava possível enviar e-mails para qualquer pessoa utilizando o serviço de e-mail da UOL, alterando parametros como destinatário e remetente.

Envio do formulário (burpsuite)
Envio do formulário (burpsuite)

Com isso foi possível enviar e-mails para qualquer destinatário e especificar um remetente, seja da UOL ou qualquer outro.

O pesquisador descreve a criticidade da vulnerabilidade “Essa vulnerabilidade é muito grave, imaginando em um cenário orquestrado por um cybercriminoso, pode utilizar dessa falha para se passar por funcionários da empresa do grupo UOL ou qualquer outra empresa, realizando phishing, sequestro de dados, forçar vítimas a instalar malwares e até ransomware.” Diz o pesquisador.

Complementa também “é possível realizar ataques em massa, para milhares de e-mails, devido à validação do captcha ocorrer somente no frontend sem validação do back. O potencial destrutivo se uma falha de segurança como essa for explorada é gigantesca.”

Falha de segurança de email - UOL
Falha de segurança de email – UOL

O profissional de segurança informa que avisou a equipe da UOL sobre a vulnerabilidade, e mesmo não tendo respostas, a equipe corrigiu a vulnerabilidade após 6 meses do contato com pesquisador.

A 13sec escreveu diversas matérias de como ataques de e-mails são bem sucedidos, relembre a matéria: Microsoft diz que ataques de comprometimento de e-mail comercial podem levar apenas algumas horas.