Exclusivo: falha grave no LinkedIn permite envio de phishing pelo email oficial da empresa

Uma vulnerabilidade do tipo HMTL Injection (injeção de HTML) que permite enviar e-mails de phishing autenticados pelo LinkedIn (enviado pelo LinkedIn através de um e-mail @linkedin.com) foi encontrada pelo pesquisador de segurança da informação, Ricardo Martins, da MITI Security.

De acordo com o pesquisador, que já identificou outras falhas e bugs na rede social corporativa, essa é uma vulnerabilidade muito perigosa, pois permite que um cibercriminoso envie um e-mail falso, através do sistema de notificação por e-mail do próprio LinkedIn. Para o ataque, não é necessário ter acesso ao endereço de e-mail da vítima, apenas que ela tenha um perfil no LinkedIn.

Em uma simulação, o pesquisador demonstrou o ataque à The Hack, que começa com a injeção de HTML em um determinado processo que não será detalhado, pois ainda encontra-se vulnerável. Após esse processo inicial, a vítima recebe um e-mail do próprio LinkedIn, através do endereço “messages-noreply@linkedin.com e ao clicar no e-mail a vítima encontra a mensagem oficial do LinkedIn, mas com seu conteúdo adulterado pelo possível cibercriminoso.

Montagem de capturas de telas da mensagem adulterada, enviada pelo próprio LinkedIn, durante os testes com a The Hack. Foto: The Hack.

Como explica Martins, por se tratar de um HTML Injection, o conteúdo desta mensagem pode ser completamente adulterado (isso inclui título e assunto do e-mail), permitindo que o cibercriminoso crie qualquer história falsa para ludibriar a vítima a clicar em um link malicioso.

Essa falha é muito grave porque um cibercriminoso consegue redirecionar o usuário para qualquer lugar que ele queira. Isso pode ser um site falso onde ele colete dados sensíveis, como logins e senhas, por exemplo. Vamos supor, a Microsoft manda um e-mail dizendo que você precisa fazer uma atualização e o usuário vai lá e baixa o arquivo e executa, já que é a ‘própria Microsoft’ que está enviando. Não tem limites pro que um criminoso pode fazer com essa vulnerabilidade, vai depender da criatividade dele, mas é realmente muito grave“, disse Lucas Moreira, pesquisador de segurança independente e analista de conteúdo na Flipside, convidado para comentar o caso.

A The Hack entrou em contato com a sede do LinkedIn, nos Estados Unidos e com a uma terceirizada de comunicação e assessoria de imprensa, no Brasil, mas ainda não obteve resposta.

Como o LinkedIn lida com denúncias de vulnerabilidades

O LinkedIn faz parte do programa de bug bounty da HackerOne, onde pesquisadores de segurança independentes podem denunciar vulnerabilidades encontradas na plataforma à empresa e em alguns casos, recebem pagamentos de recompensas pelas falhas encontradas.

A empresa explica que caso um pesquisador não faça parte da plataforma de bug bounty da HackerOne, mas queira comunicar uma vulnerabilidade na rede social, a denúncia deve ser feita por e-mail, diretamente ao departamento responsável.

Procedimento indicado de como reportar uma vulnerabilidade ao LinkedIn. Foto: The Hack.

Seguindo os passos indicados pela empresa, Martins reportou a vulnerabilidade ao LinkedIn no dia 7 de junho através do e-mail “security@linkedin.com”, como pede a página “Divulgação de vulnerabilidade”.

No dia 8 de junho, um representante da equipe de segurança do LinkedIn respondeu seu contato, dizendo que a denúncia deveria ser feita formalmente pela plataforma da HackerOne. Mas, como Martins não é um dos membros, ele perguntou se poderia entrar, o que foi respondido com “não estamos aceitando novos pesquisadores no momento”.

Essa é a segunda vez que Ricardo Martins tenta denunciar uma falha na rede social. No mês passado, Martins e seu colega, também pesquisador de segurança da informação, André Aguiar, tentaram denunciar uma falha que permite o envio de spam em massa na plataforma, o que não foi considerado como uma falha pela empresa e a possibilidade de enviar spam em massa pelo chat do LinkedIn continua explorável.

Raspagem de dados

Dados de mais de 700 milhões de usuários do LinkedIn estão a venda em um fórum cibercriminoso popular, na internet superficial, desde o começo da semana passada. Embora o banco de dados a venda se trate de uma compilação de dados públicos, inseridos na plataforma pelos próprios usuários, eles foram coletados através de uma falha em uma API do próprio LinkedIn. Um processo conhecido como raspagem de dados.

Essa, no entanto, não é a primeira vez que o LinkedIn se envolve em um vazamento massivo de dados públicos de seus usuários. Em abril deste ano, mais de 1 bilhão de usuários da plataforma foram expostos em um vazamento de dados parecido, dividido em dois bancos de dados, um de 827 milhões de usuários, anunciado por US$ 7 mil e outro de 500 milhões, sem valor informado.

Na época, o LinkedIn disse que raspagem de dados é um processo que viola as políticas de uso da plataforma e que investigaria o caso, para solucionar o problema. O que não foi feito e os usuários do LinkedIn continuam sujeitos a terem seus dados raspados e agora, a spam em massa e phishing autenticado pela própria empresa.

>>> LEIA MAIS EM THE HACK! <<<

F5 Networks
tenable
security mentor
isc2
sophos
manageengine
kaspersky

Últimas Notícias do Blog