As três empresas apresentaram falhas similares em bloqueio de chaves falsificadas no envio de mensagens.
Sempre que você envia um email para alguém, sua mensagem precisa passar por servidores para que possam chegar às caixas dos destinatários. Mas para que sua conta seja considerada legítima, ela deve passar por verificações de chave DKIM — uma chave criptografada que carrega informações de segurança para a validação de mensagens –, o que evita que contas falsificadas emitam mensagens maliciosas.
O problema é que os três maiores serviços de email do mundo (Hotmail, Yahoo e Gmail) mostraram falhas nisso. Por questões de segurança, é obrigatório que as chaves DKIM tenham pelo menos 1.024 bits, mas os principais serviços do mundo estavam com chaves bem menos seguras do que se esperava.
Como a vulnerabilidade foi descoberta?
A descoberta começou quando Zachary Harris (um matemático norte-americano) recebeu um email sobre uma possível vaga de emprego na Google. Suspeitando de uma farsa, ele descobriu que a mensagem estava criptografada com chaves de 512 bits e conseguiu crackear o código — o que permitiu que ele enviasse mensagens como se fosse qualquer outra pessoa ligada ao Gmail.
Em seguida, enviou mensagens falsas para os cofundadores da Google como se fossem os próprios — para Page, se passou por Brin e vice-versa. Ao Wired, Harris disse que fez isso para provar aos dois que tinha conseguido identificar a falha no email recebido, pois ainda pensava que estava participando de um teste.
Como ele havia conseguido quebrar a segurança do email, fez com que as mensagens trocadas entre os cofundadores fossem enviadas também para a sua conta. É claro que Brin e Page perceberam o acontecimento e agiram rápido para exigir a correção as falhas. Dois dias após a mensagem de Harris ser enviada, a Google modificou as chaves de segurança para 2.048 bits.
Outros servidores com falhas
De acordo com o que foi mostrado no Wired, Zachary Harris descobriu que vários outros servidores (não apenas de email) apresentavam problemas similares. Isso inclui Apple, eBay, Amazon, PayPal, Twitter, HP e Dell. Não há relatos sobre correções nos nomes mencionados, mas o Slash Gear afirma que Microsoft e Yahoo também passaram por problemas e já modificaram seus códigos de segurança.
Fonte: Wired e Slash Gear Via TecMundo