Hacker denuncia grave vulnerabilidade no webmail UOL
Usuários do e-mail UOL podem ter suas contas roubadas ao abrir um e-mail malicioso
Foto: Reprodução
O hacker Gabriel Pato descobriu uma grave falha de segurança do webmail UOL e possivelmente do UOL Host. Na ocasião, entrou em contato com o Grupo UOL para relatar o problema, mas não obteve resposta. Um ano e meio depois, ele resolveu tornar a descoberta pública e informou como usuários do e-mail UOL podem ter suas contas roubadas ao abrir um e-mail malicioso.
Segundo Gabriel, a vulnerabilidade expõe toda a base de usuários do e-mail UOL e produtos derivados dele, como o UOL Host, BOL e Zip. Basta que o e-mail malicioso seja aberto dentro do webmail UOL para que o usuário se torne mais uma vítima do hacker e ter todos os seus e-mails redirecionados para uma conta de domínio do atacante.
A brecha se dá, explica o hacker, por uma vulnerabilidade técnica de cross-site scripting (XSS) — a mesma utilizada por Arthur Carrenho para rodar Minecraft no site do Supremo Tribunal Federal. Resumidamente, o cliente do webmail não oferece proteção contra a inserção de scripts dentro de e-mails e isso acarreta sérias consequências.
Gabriel afirma que um dos grandes perigos dessa brecha é o “roubo” dos e-mails direcionados para a conta. Ao garantir que um script malicioso seja enviado e aberto pela vítima, o hacker pode roubar o token de verificação do alvo e direcionar todos os seus e-mails para qualquer conta que desejar. Assim, e-mails de verificação de conta e redefinições de senha estarão nas mãos do hacker.
Procurado pelo TecMundo, o UOL informou que a falha nunca foi explorada. “O UOL informa que a vulnerabilidade reportada não gerou nenhum incidente de segurança nos seus serviços de e-mail. A base dos usuários do UOL e os e-mails de seus clientes não foram acessados por ninguém.”, informam por e-mail.
O UOL acrescentou que segue “rígidos protocolos de segurança” e que a equipe de segurança está atenta a denúncias de eventuais fragilidades em seus sistemas.
Como se proteger
Segundo o hacker Gabriel, basta utilizar outra plataforma para se proteger dessa falha. Uma sugestão dada pelo youtuber é utilizar o Outlook ou aplicativos de celular para visualizar os e-mails e configurá-los via IMAP ou Pop3/SMTP — que são protocolos de gerenciamento de correio eletrônico.
