Hackers brasileiros rodaram “Doom” em site da NASA porque não tinham nada melhor pra fazer

Vazamento de dados pessoais pode gerar multas de até R$ 50 milhões
Vazamento de dados pessoais pode gerar multas de até R$ 50 milhões
25/02/2019
82% dos executivos acreditam que ataques de hackers vão crescer significativamente até 2020
10/06/2019

Via: https://www.vice.com/pt_br/article/a3bky4/hackers-brasileiros-rodaram-doom-em-site-da-nasa-porque-nao-tinham-nada-melhor-pra-fazer

“Doom”, o clássico jogo de tiro de 1993, roda em qualquer coisa. O game funciona em câmeras digitais antigas, outdoors eletrônicos, em termostatos, em torradeiras e qualquer coisa que permita ver bichões explodindo. Mas, para muita gente, o desafio não é mais escolher um dispositivo inusitado para botar o game, e sim um lugar inesperado e não-autorizado, como o site da NASA.

No domingo, o grupo hacker brasileiro CCESS divulgou que conseguiu rodar “Doom” dentro do site da NASA OIG (Office of Inspector General), órgão ligado à agência e responsável por fazer auditorias e melhorar a eficiência econômico de projetos de estudo, observação e exploração espacial.

Para fazerem isso, os caras usaram uma vulnerabilidade descoberta em agosto do ano passado por um pesquisador chamado Subsolo. (Pois é, os donos do site não arrumaram as brechas desde então.) Por mensagem, um membro do CCESS explicou que o hacker fazia testes de invasão contra páginas da NASA à procura do bugs quando encontrou duas falhas relacionadas a XXS. Esse tipo de brecha permite que uma pessoa de fora do sistema execute um código dentro dele.

Na época, a NASA foi notificada das falhas. A princípio, conta o CCESS, os interlocutores da agência foram receptivos e logo uma das vulnerabilidades foi corrigida. Mas a segunda, não. Passados o período de seis meses considerado para que um problema do tipo seja tornado público, os brasileiros decidiram tirar uma ondinha.

Leandro Trindade, outro membro do CCESS, usou a falha encontrada por Subsolo para fazer o Doom rodar no site da NASA OIG. Logo depois, um seguidor chamado Augusto Resende aumentou o nível da piada e fez o mesmo com Space Invaders.

Entre a hora do almoço e às 15h desta terça, dia 12, conseguimos acessar os dois jogos no domínio da NASA. Na versão de Doom, estavam disponíveis quatro fases, mas mesmo no nível mais fácil (‘I’m Too Young To Die’) anos de RPGcomprometeram a coordenação mão olho e fizeram com que a brincadeira durasse pouco.

Às 15h09, o problema parecia ter sido resolvido e não era mais possível acessar os jogos.

Apesar de parecer um hack inofensivo, a mesma vulnerabilidade poderia ter sido explorada de formas mais prejudiciais. “Seria possível criar uma página falsa para que os próprios administradores do sistema caíssem, o que permitiria roubar credenciais [login e senha] e por aí vai”, explicou o CCESS. “Da mesma forma que podíamos criar uma notíficia falsa e espalhar o link. Imagine que legal ver no próprio domínio da NASA que o ET Bilu é real?”.

Procurada, a NASA OIG não respondeu perguntas do Motherboard.

O CCESS costuma testar o segurança digital de grandes empresas. O grupo já encontrou falhas, por exemplo, no site do Banco do Brasil. Assim como a NASA, o Banco demorou seis meses para corrigir o problema e só o fez quando o caso se tornou público.

Ao que parece, jogaremos mais um pouquinho de “Doom” por outros sites.

ATUALIZAÇÃO (14/02): Procurada, a NASA afirmou que analisou o site e que nenhuma informação foi comprometida. Segundo a Agência, o jogo estava hospedado dentro de um site externo. De qualquer forma, afirmam que tomaram medidas extras de segurança.

Comentário ProtectSoftware: Se até mesmo o site da NASA pode ser invadido, o que dizer das empresas brasileiras que não investem nada em segurança, mude a sua realidade, conheça nosso portfolio de softwares de segurança em: https://www.protectsoftware.com.br

× WhatsApp