Alguns dos maiores sites de hospedagem eram vulneráveis a simples invasões de conta

Um pesquisador de segurança descobriu, divulgou e divulgou agora uma dezena de bugs que tornavam fácil roubar informações confidenciais ou assumir a conta de qualquer cliente de algumas das maiores empresas de hospedagem na Internet.

Em alguns casos, clicar em um link simples teria sido suficiente para  Paulos Yibelo , um conhecido e respeitado caçador de bugs, assumir as contas de qualquer um usando cinco grandes provedores de hospedagem – Bluehost, Dreamhost, Hostgator, OVH e iPage.

“Todos os cinco tiveram pelo menos uma vulnerabilidade séria, permitindo um sequestro de conta de usuário”, disse ele ao TechCrunch, com o qual compartilhou suas descobertas antes de abrir o capital.

Os resultados de seus testes de vulnerabilidade provavelmente não iriam encher os clientes com muita confiança. Os bugs, agora corrigidos – de acordo com o artigo de Yibelo , representam casos de infraestrutura obsoleta, sistemas back-end baseados na web complicados e alastrando, e cada empresa com uma base de usuários massiva – com o potencial de errar facilmente.

Ao todo, os bugs poderiam ter sido usados ​​para direcionar qualquer número dos dois milhões de domínios coletivos sob os domínios BlueHouse, Hostgator e iPage da Endurance, um milhão de domínios da Dreamhost e quatro milhões de domínios da OVH – totalizando cerca de sete milhões de domínios.

A maioria dos ataques de Yibelo foi bastante simples, mas eficaz se combinada com uma campanha de spearphishing direcionada que visava usuários de alto perfil. Com os dados de registro de domínio disponíveis para a maioria dos grandes clientes em bancos de dados WHOIS de registradores, a maioria dos ataques dependeria do envio de um link malicioso ao proprietário do domínio por e-mail, esperando que eles clicassem.

No caso do Bluehost, o Yibelo incorporou JavaScript malicioso em uma página cheia de gatinhos ou filhotes, ou qualquer coisa que ele queira. Assim que um usuário do Bluehost conectado clicar em um link de um e-mail ou um tweet para essa página, o JavaScript oculto entrará na página e injetará as informações do perfil do invasor na conta da vítima – supondo que o usuário já esteja conectado no Bluehost – explorando uma falha de falsificação de solicitação entre sites (CSRF). Isso permite que o atacante modifique dados no servidor de seu site malicioso, enquanto a vítima não é a mais sábia. Ao injetar suas próprias informações, incluindo o endereço de e-mail, o invasor pode solicitar uma nova senha ao endereço de e-mail desse atacante e assumir a conta.


Uma demonstração de um hack simples, envolvendo um link de um clique que permite que um atacante invada e conquiste a conta de um usuário. 
(Paulos Yibelo / YouTube)

Yibelo também descobriu que o ataque poderia funcionar na forma de um ataque cross-site scripting (XSS). Ele  demonstrou como um único clique em um link malicioso poderia instantaneamente trocar o endereço de email do proprietário da conta Dreamhost para aquele que um atacante usa, permitindo Yibelo – ou um atacante – para enviar um código de redefinição de senha a ser enviada para o e-mail do atacante, permitindo uma aquisição de conta.

Hostgator, por sua vez, sofreu várias vulnerabilidades, incluindo uma falha CSRF similar que enganou contramedidas para impedir que um script cross-site de execução, o que lhe permitiu adicionar, editar ou modificar quaisquer dados no perfil da vítima, como um endereço de e-mail que poderia ser usado para redefinir a senha do usuário.

Yibelo também encontrou várias outras falhas menos prováveis, mas ainda sérias, permitindo ataques man-in-the-middle em uma rede local – como um hotspot Wi-Fi público.

A OVH, por sua vez, teve uma falha semelhante que permitiu à Yibelo ignorar suas proteções CSRF que lhe permitem adicionar, alterar ou editar os dados do perfil do usuário. Ao utilizar outra vulnerabilidade na API, poderia ter permitido a um invasor buscar e ler as respostas da OVH.

E, o iPage, teve uma falha de um clique semelhante que pode ser facilmente explorada porque o host não exige uma senha antiga ou atual ao redefinir os detalhes de login da conta. Isso possibilitou que um invasor criasse um endereço da Web mal-intencionado que, quando clicado, redefiniria a senha para uma das opções do invasor – permitindo que ele fizesse login como esse usuário.

A maioria das empresas de hospedagem também corrigiu outras falhas de informação e vazamento de dados, também descobertas pela Yibelo.

Todas as empresas, além da OVH – que não respondeu a um pedido de comentário enviado antes da publicação – confirmaram que os bugs foram corrigidos.

Kristen Andrews, porta-voz da Endurance, uma empresa de hospedagem que é dona da Bluehost, Hostgator e iPage, disse que a empresa “tomou medidas para resolver e corrigir as vulnerabilidades potenciais em questão”, mas, quando perguntado, não disse se os bugs foram exploradas ou se as contas ou dados do cliente foram comprometidos.

A Dreamhost, por sua vez, disse que consertou os bugs “menos de 48 horas depois”, de acordo com o porta-voz Brett Dunst, e não encontrou evidências que sugiram que alguém tenha explorado o inseto fora dos testes de Yibelo.

“Depois de uma revisão completa dos nossos registros de acesso ao sistema, podemos confirmar que nenhuma conta de cliente foi afetada e nenhum dado do cliente foi comprometido”, disse ele. “O exploit teria exigido que um usuário do DreamHost logado clicasse em um link malicioso especialmente formatado para alterar as informações de contato de sua própria conta.”

É incrível pensar que de todas as formas de entrar em um site, muitas vezes – como Yibelo mostrou – não é através de um ataque complicado ou firewalls rebentando. É simplesmente pela porta da frente do host do site, exigindo pouco esforço para o hacker comum.