[VotoEletronico] TSE corrige falha que permitia ataque de phishing e roubo de dados

Sat, 23 Sep 2006 13:18:04 -0700 


TSE corrige falha que permitia ataque de phishing e roubo de dados

Por Ralphe Manzoni Jr., editor executivo do IDG Now!
30-08-2006


Se explorada, falha permitia criar páginas falsas 
difamando candidatos ou roubar senhas e dados pessoais dos usuários



O Tribunal Superior Eleitoral (TSE) corrigiu 
nesta terça-feira (29/08) uma falha que permitia 
que pessoas mal-intencionadas forjassem ataques 
de phishing scam através de seu web site.



Chamado tecnicamente de “cross site scripting”, 
ela permite que um usuário pense que esteja 
acessando uma página verdadeira do site do TSE, 
quando na verdade está rodando uma página falsa.



Um cracker pode explorar a falha abrindo uma 
página falsa do TSE dentro da página verdadeira.



No caso do TSE, o cracker poderia publicar 
informações falsas sobre os candidatos, 
difamando-os na internet ou mesmo até mesmo 
instalar um programa espião no computador da 
vítima para conseguir as informações bancárias ou dados pessoais.



Uma outra forma de explorar essa vulnerabilidade 
é enviar uma mensagem por e-mail falsa, mas que, 
em função da falha, leva o usuário para o site 
original, mas que conta com um script malicioso inserido.



A falha foi comunicado ao IDG Now! por um leitor. 
A empresa de segurança Batori, que analisou o 
problema, considerou a vulnerabilidade grave. Não 
há notícias de que a falha tenha sido explorada por algum cracker.



O IDG Now!, então, avisou ao TSE da falha no site 
e esperou que ela fosse corrigida, o que 
aconteceu há pouco, para publicar a informação.



http://pcworld.uol.com.br/noticias/2006/08/30/idgnoticia.2006-08-30.0607534624/IDGNoticia_view 


______________________________________________________________
O texto acima e' de inteira e exclusiva responsabilidade de seu
autor, conforme identificado no campo "remetente", e nao
representa necessariamente o ponto de vista do Forum do Voto-E

O Forum do Voto-E visa debater a confibilidade dos sistemas
eleitorais informatizados, em especial o brasileiro, e dos
sistemas de assinatura digital e infraestrutura de chaves publicas.
__________________________________________________
Pagina, Jornal e Forum do Voto Eletronico
       http://www.votoseguro.org
__________________________________________________














    











					Responder a