Em mais uma brincadeira, um hacker brasileiro conseguiu disponibilizar Minecraft direto dos servidores do Supremo Tribunal Federal. Arthur Carrenho, pesquisador e universitário do Centro Universitário Municipal de Franca, escancarou uma vulnerabilidade do site oficial da corte brasileira ao disponibilizar umas das primeiras versões do game da Microsoft em links oficiais.
Arthur "estava só treinando" quando encontrou a brecha em maio de 2019. Passado um ano e sem ter sido corrigida, o hacker decidiu brincar com a condição da página ao injetar um XSS — um tipo de vulnerabilidade rudimentar que permite redirecionar o usuário para uma página com mesmo domínio, mas pertencente ao atacante.
“Encontrei a página e percebi que parecia antiga; pensei em injetar o XSS e funcionou!”, disse em uma conversa para o TecMundo. “eu decidi fazer uma brincadeira devido à situação atual e para chamar a atenção para que [a vulnerabilidade] seja corrigida”, completa.
O site injetado pode ser acessado de qualquer navegador, exceto Internet Explorer.Fonte: Arthur Carrenho/Reprodução
A técnica é simples, mas pode ferir a integridade de vários usuários. Ao direcioná-los para uma página visualmente idêntica ao destino esperado, garantindo confiança à página, a vítima pode fornecer dados sensíveis para o atacante. Isso, em entidades como o Supremo Tribunal Federal, é uma ocorrência extremamente grave.
A página injetada pelo Arthur ainda está no ar no momento da elaboração dessa matéria. Nela, é possível aproveitar uma das primeiras versões de Minecraft, especialmente batizada como STF Craft.
A segunda “brincadeira” do Arthur
Em junho do ano passado, Arthur Carrenho executou um feito ainda mais notável. O pesquisador aplicou a mesma estratégia nos servidores do Bank of America, a segunda maior holding bancária dos Estados Unidos. A injeção de XSS garantiu que o jogo Doom fosse jogado direto dos servidores da instituição.
Fontes
Categorias