O portal do Supremo Tribunal Federal (STF) apresenta um “grande risco de segurança” que pode ser explorado por hackers através de ataques “Man in the Middle”. Como não existe nenhum mecanismo que force o internauta a se conectar via HTTPS (conexão segura), cibercriminosos podem capturar, facilmente, códigos de autenticações e senhas dos usuários do portal.

Apesar de oferecer um certificado de criptografia validado até 25/10/2021, emitido pela empresa AlphaSSL, o STF falha ao permitir que acessos não seguros sejam realizados no portal. Foi o que identificou hoje, 01 de setembro, o BR.NEWS ao conseguir acesso direto ao site do STF sem a exigência do HTTPS.

Um exemplo da potencialização dessa vulnerabilidade pode ser observado através do serviço de autenticação de documentos oferecido pelo STF. Neste caso é exigido dos usuários o preenchimento de dados sensíveis, como o código de autenticação e a senha de acesso. E é justamente aqui que mora o perigo.

“Muitas pessoas confiam mais em sites com HTTPS, que exibem um cadeado ao lado da barra de endereços do navegador, e há uma boa razão para isso!”, foi o que nos explicou Daniel Barbosa, especialista em segurança da informação da ESET.

Vídeo que registra a falha

Caso um usuário utilize uma conexão de internet que não seja de confiança, como as disponibilizadas por cafés, hotéis e restaurantes, o atacante cibernético pode se infiltrar utilizando programas e scripts maliciosos para interceptar o fluxo de dados entre o usuário e o portal do STF.

Sobre isso, Barbosa nos esclareceu que “sites HTTPS configurados de forma adequada possuem proteções para o tráfego de informações entre os usuários e a página web. Sem essa segurança quaisquer dados trafegados dos usuários para o servidor podem ser interceptados

Grande Risco

A nosso pedido a ESET fez uma análise da página do serviço de autenticação de documentos disponibilizada pelo STF, que até então pode ser acessada sem exigência de uma conexão segura, e tivemos a seguinte explicação técnica:

“isso traz um grande risco, pois a página mencionada (http://portal.stf.jus.br/publicacoes/autenticarDocumentos.asp) tem um formulário de pesquisa para código de autenticação e senha, ou seja, a senha dos usuários seria facilmente capturada em caso de ataque de Man in the Middle“.

Segundo o Wikipedia, este ataque, traduzido literalmente como “homem no meio”, é uma forma em que os dados trocados entre duas partes (por exemplo, você e o seu banco), são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vítimas se apercebam.

Considerando o grande risco que a falha de segurança oferece, minutos após a identificação do problema, a nossa reportagem comunicou o fato à assessoria de imprensa do STF. Além da comunicação, pedimos também uma nota explicativa e uma previsão para a regularização do problema, mas até o momento desta publicação não obtivemos resposta.

Ainda sobre a falha, que apresenta grande risco de segurança: “a correção dessa vulnerabilidade pode ser implementada em um curto período de tempo e traria uma camada de proteção significativa aos usuários“, concluiu Daniel Barbosa.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *