Uma Falha No PwnedList Expoe Milhões De Credenciais

Sharing is caring ... Help us!

Um especialista descobriu uma séria falha no serviço PwnedList que pode ter sido explorada para acessar milhares de credenciais de contas gerenciadas pelo serviço. Uma séria vulnerabilidade encontrada no PwnedList pode ter sido explorada por hackers para ganhar acesso a milhões de credenciais de contas coletadas pelo serviço. O serviço PwnedList permite aos usuários verificar se as suas contas foram comprometidas, e agora uma séria vulnerabilidade pode expor milhões de usuários.

O PwnedList foi lançado em 2011 e adquirido pela empresa InfoArmor em 2013, a companhia usava o serviço para oferecer um novo serviço de monitoramento para os seus clientes de negócios. A InfoArmor integrou a solução na plataforma Vendor Security Monitoring. O especialista em segurança, Bob Hodges, descobriu uma série falha no serviço, que ele estava tentando  monitorar, nos domínios .com e .edu, quando uma falha de segurança permitiu a ele monitorar qualquer domínio.

Cada vez que um usuário deseja monitorar um novo domínio ou um endereço de email específico, ele necessita inserir o dado em uma plataforma de observação e esperar a aprovação dos administradores do serviço. Hodges descobriu que a falta de validação de dados pode permitir um atacante manipular um parâmetro para adicionar qualquer domínio na lista de observação.

A falha afeta o processo implementado pelo serviço do PwnedList de duas etapas, para adicionar novos elementos a lista de observação. O especialista descobriu que a segunda etapa não considera a informação enviada na primeira etapa, o que permite um atacante enviar dados arbitrários ao falsificar a requisição

Hodges reportou a falha para o popular investigador de segurança Brian Krebs, que confirmou a existência do problema. Krebs escreveu no seu blog: ” Na semana passada, eu soube de uma vulnerabilidade que expôs todas as 866 milhões de credenciais de contas armazenadas pelo pwnedlist.com, um serviço desenvolvido para auxiliar companhias a rastrear vazamentos de senhas públicas, que podem criar problemas de segurança para os seus usuários. Menos de 12 horas após o InfoArmor reviver minha conta adormecida, eu recebi um alerta de email automatizado do PwnedList me dizendo que eu tinha novos resultados para o Apple.com. De fato, o relatório que eu fui capaz de baixara incluía mais de 100.000 nomes de usuários e senhas de contas cujo final era apple.com. Os dados estavam disponíveis em texto plano, e capaz de serem baixados com uma planilha”.

Krebs adicionou o domínio Apple.com à sua lista de observação, e em apenas 12 horas ele foi capaz de acessar cerca de 100.000 credenciais de contas da Apple. Um atacante pode abusar do serviço para reunir informações para mirar uma organização específica e obter as suas credenciais de contas. Krebs relatou a falha do InfoArmor que após preocupações iniciais admitiu o problema. Os mantenedores do site PwnedList temporariamente desativaram o serviço, de forma a tentar consertar o problema, informa o site secuirtyaffairs.co.

fonte:

http://securityaffairs.co/wordpress/46913/hacking/pwnedlist-data-leak.html
http://www.ibtimes.co.uk/rise-fall-pwnedlist-how-866-million-hacked-passwords-were-exposed-all-over-again-1557963
http://i0.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/05/PwnedList-watchlist-Brian-Krebs.png?w=580
http://krebsonsecurity.com/2016/05/how-the-pwnedlist-got-pwned/