Tecnologia

Xbox Live vazou dados dos usuários, mas Microsoft negou falha; entenda

Publicados

em


source

Olhar Digital

xbox live
Reprodução

Falha no Xbox Live permitia que hackers descobrissem o e-mail de usuários

Recentemente, a Microsoft  corrigiu uma vulnerabilidade no site do Xbox  que permitia que cibercriminosos conseguissem ter acesso ao e-mail dos usuários a partir de suas gamertags (nomes de usuário). A vulnerabilidade foi relatada por Joseph “Doc” Harris, um pesquisador de segurança, à empresa.

Ao comentar a vulnerabilidade , Harris afirma que o bug foi encontrado no site ‘enforcement.xbox.com’, usado por usuários de consoles Xbox  para entender se houve algum ataque à conta e apelar em casos de punições injustas aplicadas pela empresa.

Após alguém logar no site, o endereço cria um arquivo cookie no navegador com detalhes sobre a sessão. Isso é feito para que não seja necessário inserir as credenciais novamente quando um novo acesso for feito.

Leia Também:  YouTube bloqueia vídeo de Eduardo Bolsonaro sobre ivermectina

Harris afirma que esse arquivo possuía um campo destinado ao ID de usuário do Xbox (XUID). No entanto, essa informação não estava criptografada . Por conta disso, usando a opção de acessar os cookies do navegador, o pesquisador conseguiu acesso ao código e substituiu a identificação por outra proveniente de uma conta de testes que ele usa.

Ao trocar as informações, o site é atualizado e o e-mail associado ao novo ID é exibido. “Tentei substituir o valor do cookie e atualizar, e de repente pude ver os e-mails de outros usuários”, afirma Harris em entrevista ao ZDNet.

Para resolver a questão, a Microsoft  lançou um patch de correção. “A solução foi criptografar o XUID”, disse Harris. No entanto, apesar de ter reparado o problema, a Microsoft não o considerou exatamente como uma falha.

Por isso, Harris não recebeu pela denúncia, apesar de ter utilizado o canal específico de recompensas da Microsoft para alertar sobre a questão. Segundo um analista de segurança que trabalha para o Security Response Center da empresa, que testa as denúncias feitas, o bug não seria coberto pelo programa, isso porque, apesar de ser uma falha, não poderia ser explorada para invadir o Xbox , por exemplo.

Leia Também:  Galerias virtuais democratizam o acesso à arte durante a pandemia

Mesmo assim, isso acende uma questão bastante importante do ponto de vista de segurança. Apesar de não ter sido considerada uma falha grave pela Microsoft , muitas pessoas usam o mesmo e-mail em mais de um serviço. Ter esse endereço nas mãos de alguém mal-intencionado pode ser potencialmente perigoso.

COMENTE ABAIXO:
Propaganda
Clique para comentar

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Tecnologia

Megavazamento pode trazer prejuízos a todos os brasileiros; saiba o que fazer

Publicados

em


source
Dados vazados expuseram quase todos os brasileiros
Marcello Casal Jr/Agência Brasil

Dados vazados expuseram quase todos os brasileiros

O vazamento que expôs dados de quase todos os brasileiros , ultrapassando 220 milhões de CPFs tem deixado muita gente preocupada. E não é para menos: muito pior do que se esperava , o banco de dados inclui várias informações de cada uma dessas pessoas – vivas ou mortas -, como foto, endereço, telefone, e-mail e salário.

O problema é que, com tanta gente exposta, fica difícil saber quem está no meio e pode sofrer as possíveis consequências. Marco DeMello, presidente executivo da PSafe, empresa que foi a primeira a reportar o caso, disse ao Estadão que, dada a magnitude do vazamento , é difícil que algum brasileiro tenha ficado de fora. “A essa altura, todos os CPFs brasileiros estão nessa base de dados roubada. Estão lá meus familiares, meus sócios, minha equipe e qualquer coisa que eu pesquiso nos extratos. É assustador”, afirmou.

De acordo com apuração do Tecnoblog, todos os 223 milhões  CPFs estão expostos gratuitamente, enquanto o restante dos dados está à venda na internet por valores que variam de US$ 0,075 a US$ 1 por CPF.

Leia Também:  Celulares Android desvalorizam mais rápido que iPhones; veja ranking de marcas

Isso significa que as informações podem ser compradas por cibercriminosos , que podem usá-las para aplicar diversos tipos de golpes, sobretudo os financeiros.

Você viu?

Com os tipos de dados presentes no vazamento, é possível que os golpistas assumam a identidade da vítima para fazer uma dívida, por exemplo. Além disso, é possível que as informações sejam usadas para praticar a chamada engenharia social, convencendo a vítima de que ela precisa passar mais dados – ou até dinheiro. Um CPF e um endereço roubados podem, por exemplo, serem usados para gerar um boleto tão legítimo que a vítima vai acreditar que deve pagá-lo.

Outra opção é que os criminosos usem dados de pessoas com mais visibilidade, como políticos ou executivos de alto cargo para extorquir dinheiro.

Por isso, é preciso que todas as pessoas estejam atentas a movimentações em contas e contatos por telefone, e-mail ou mensagem que sejam suspeitos. Caso algo fora do comum aconteça, o ideal é formalizar um boletim de ocorrência.

Por enquanto, ainda não se provou de onde vieram os dados vazados . Informações presentes no banco ligam as informações à empresa de análise de crédito Serasa Experian . A companhia nega relação e diz investigar o caso.

COMENTE ABAIXO:
Continue lendo

BLOG DO ILAURO

POLÍTICA

POLÍTICA NACIONAL

ECONOMIA

CIDADES

BLOG DO ILAURO

MAIS LIDAS DA SEMANA