Tendências do dia

Ele invadiu a NASA para relatar falhas no site e não recebeu nenhuma recompensa; ele fez de novo, e essa foi a resposta

Um hacker decidiu aproveitar uma falha de segurança na agência para fornecer uma solução e reportar o ocorrido

Imagem de capa | Space Foundation
Sem comentários Facebook Twitter Flipboard E-mail
fabricio-mainenti

Fabrício Mainenti

Redator
fabricio-mainenti

Fabrício Mainenti

Redator
Linkedin instagram
25 publicaciones de Fabrício Mainenti

Quando existe uma falha de segurança em um sistema, o hacker tem três opções: explorá-la para ganho pessoal ou para uma causa específica, encontrar uma solução e denunciá-la, ou simplesmente não fazer nada. Diversas grandes empresas têm programas de recompensa para quem encontrar vulnerabilidades, enquanto outras preferem oferecer um reconhecimento amigável, como a NASA costuma fazer.

Conhecido online como "7h3h4ckv157", o indivíduo já havia hackeado a NASA antes. Desta vez, ele buscava encontrar vulnerabilidades em seus sistemas para relatá-las à agência. Em reconhecimento ao seu trabalho, a própria agência lhe enviou uma carta de agradecimento, assinada por Mike Witt, oficial sênior de segurança da informação da NASA.

A NASA estava errada desde 1986: uma revisão da missão Voyager 2 revelou que Urano não é como se pensava
Em Xataka Brasil
A NASA estava errada desde 1986: uma revisão da missão Voyager 2 revelou que Urano não é como se pensava

Ele hackeou a NASA, o Google, a Apple e o X

Esta não é a primeira vez que este hacker encontra vulnerabilidades em grandes empresas e agências. Sua lista de conquistas inclui Google, Apple, X e agora a NASA, uma agência cujos sistemas ele hackeou diversas vezes.

A anterior ocorreu em 2022, quando ele relatou uma vulnerabilidade no site da NASA. Aqui, ele utilizou Cross-Site Scripting (XSS), um ataque que permite que hackers executem código malicioso no navegador de outra pessoa.

Clique aqui para ir para a postagem

Segundo o hacker daquele ano, existem três variantes de XSS: XSS refletido, XSS armazenado e XSS baseado em DOM, cada uma com diferentes modos de ataque e níveis de perigo. Embora a segurança da NASA fosse considerada muito alta, o autor a considerou vulnerável, assim como muitas outras organizações.

Ao explorar essa técnica, ele percebeu que o site da NASA não processava adequadamente os dados inseridos pelo usuário (como em formulários ou campos de pesquisa). Em vez de texto normal, um hacker pode enviar código malicioso, que o site reflete ou armazena. Então, quando outra pessoa visita o site, esse código é executado no navegador dela sem que ela perceba. Isso pode permitir que o hacker roube informações, como senhas ou dados privados, ou assuma o controle da conta da vítima.

NASA tem uma missão urgente: instalar um reator de fissão na Lua; e isso não tem nada a ver com ciência
Em Xataka Brasil
NASA tem uma missão urgente: instalar um reator de fissão na Lua; e isso não tem nada a ver com ciência

Naquela ocasião, o hacker não recebeu nenhum reconhecimento ou recompensa da NASA, de acordo com sua publicação no blog. No entanto, desta vez, a NASA lhe enviou uma carta assinada agradecendo por seu trabalho na melhoria da segurança da agência. O hacker publicou o teste em sua conta no X, embora ainda não tenha fornecido detalhes sobre essa nova vulnerabilidade.

Não é surpresa que o tipo de vulnerabilidade encontrada recentemente nos sistemas da NASA ainda seja desconhecido, pois levará algum tempo para que eles garantam que isso seja resolvido para que outros não possam explorar a falha de segurança. É possível que um dia o hacker escreva sobre o problema em seu blog, mas teremos que esperar para ver.

Imagem de capa | Space Foundation

Assuntos

Ver 0 Comentários

Voltar ao topo

Edições internacionais

Informações

Inicio