Alguns serviços de webmail portugueses não estavam até terça-feira passada (dia 13 de Novembro) protegidos contra ataques de Cross Site Scripting, alertou a Phibernet, uma organização sem fins lucrativos que se tem posicionado para a identificação de problemas de segurança "que possam afectar a comunidade em geral", e que já detectou falhas no serviço MBnet (veja Notícias Relacionadas). Esta organização alertou os responsáveis dos domínios no dia 13 de Novembro e tornou esta informação pública ontem à noite, por considerar o problema grave.



A falha foi identificada nos serviços de webmail xekmail.aeiou.pt, megamail.pt, cidadebcp.pt, portugalmail.com, portugalmail.pt e iol.pt. O TeK contactou já alguns dos responsáveis por estes serviços, que afirmaram ter já corrigido o problema (veja Problemas resolvidos mais abaixo) .



Nos serviços sapo.pt, net.sapo.pt, clix.pt e mail.pt não foram identificados problemas, enquanto que o netcabo.pt não está sujeito a ataques de cookies mas revela "uma vulnerabilidade ainda maior, pois é possível aceder aos attachments de QUALQUER conta do serviço, sem necessidade de aceder ao cookie do cliente", adianta em comunicado. No caso do serviço netc.pt - agora Vizzavi depois da aquisição de 80% da TelecelOnline por parte desta empresa -, não foram feitos testes por não ter sido possível criar um utilizador, já que "o serviço encontrava-se em baixo na altura do teste".




Alertas Vários

O primeiro alerta da Phibernet para este problema de segurança tinha sido feito a 9 de Novembro, altura em que João Pedro Gonçalves expôs um problema encontrado no IMP, uma aplicação de messaging do Horde Project, aparentemente muito utilizada em serviços de webmail. No dia seguinte foi lançada uma correcção à aplicação que soluciona o bug detectado pela Phibernet, e que está disponível para download no site desta organização.


A mesma falha havia sido identificada em Fevereiro do ano passado pelo CERT - o centro de segurança de Internet da Universidade de Carnegie Mellon - que referia a possibilidade de ataques maliciosos através de tags HTML embebidos nas páginas geradas dinamicamente.



De acordo com a descrição fornecida pelo CERT, e reforçada pela Phibernet, um servidor web que permita a execução de código HTML ou Javascript em páginas geradas dinamicamente pode permitir o acesso aos cookies armazenados no computador do utilizador dessa página, ou ainda causar um ataque do tipo denial-of-service (de negação de serviço).



No caso dos webmails identificados pela Phibernet, o problema existia na utilização dos cookies como mecanismo de autenticação, evitando a digitação do login/password. Desta forma se alguém conseguir obter o conteúdo do cookie tem acesso à conta de webmail desse utilizador e foi esse o teste que a Phibernet fez aos webmails portugueses referidos.


Problemas resolvidos

O TeK esteve todo o dia a tentar contactar com os responsáveis dos webmails referidos pela Phibernet como vulneráveis, no sentido de apurar a verificação do bug nos seus sistemas e ainda se este problema já havia sido resolvido depois do último teste realizado.



Porém, apenas conseguimos contactar com o AEIOU, PortugalMail e Cidade BCP. Enquanto José Carlos Duarte do AEIOU constatou a correcção do bug no próprio dia 13, Manuel Costa do PortugalMail afirma que este problema é "impossível" de ocorrer neste serviço e Paulo Fidalgo, porta voz do Grupo BCP desvaloriza a questão, já que o serviço de webmail é usado por uma percentagem pequena de clientes, está fora do "perímetro de segurança transaccional da CidadeBCP" e vai ser descontinuado até dia 1 de Dezembro.


Manuel Costa do PortugalMail mostra-se surpreendido pelo facto de ter sido detectada esta vulnerabilidade no seu serviço. "Desde o início nunca permitimos a leitura de mensagens HTML directamente aos nossos clientes", explica, "temos algoritmos que transformam as mensagens HTML em texto simples e deixamos um link no final da página para quem quiser ver o ficheiro com a formatação HTML, mas isso já acontece fora do ambiente do PortugalMail", confirma. Afirma assim que os seus utilizadores, que ascendem a 322 mil, estão defendidos deste problema.


Em comunicado elaborado propositadamente para responder à questão levantada pela Phibernet, o responsável técnico do PortugalMail, Sérgio Carvalho, explica que o sistema usado no serviço é o Synacor e não o IMP identificado pela Phibernet como susceptível de ataques de cross site scripting. DE qualquer forma, foram realizados testes quanto à possibilidade desta falha ocorrer no serviço, que segundo Sérgio Carvalho se revelaram negativos.



Do lado do xekmail do portal AEIOU, José Carlos Duarte, director técnico, constata o conhecimento da vulnerabilidade e a sua correcção no próprio dia 13. Apesar de usarem a solução IMP da Horde, esta está já "muito costumizada e alterada", refere este responsável técnico, o que não defendeu o serviço do bug porque este estava relacionado com um script geral. De acordo com os responsáveis da área comercial do AEIOU, existem 198 mil clientes registados no webmail, dos quais cerca de 50 por cento são utilizadores activos.


O número reduzido de utilizadores do serviço de webmail da Cidade BCP foi um dos argumentos utilizados por Paulo Fidalgo, porta voz do Grupo BCP, para desvalorizar este alerta da Phibernet. Por saberem que o webmail é um sistema vulnerável este foi sempre mantido fora do "perímetro de segurança transaccional" do serviço de homebanking, onde há "segurança absoluta", sublinha. De acordo com este responsável, o webmail é um facilidade que a Cidade BCP oferece aos seus utilizadores, mas com fraca utilização, já que menos de 5 por cento dos clientes se inscreveram no webmail.



Paulo Fidalgo adianta ainda que este webmail é da responsabilidade da Oni e que é referido aos utilizadores que não serve para contacto de informações relacionadas com as suas contas bancárias, limitando-se a pedidos de informação, reclamações, sugestões e comentários. Porem, este serviço está a ser descontinuado, devendo ser inaugurado a partir de 1 de Dezembro um novo sistema de contacto "por mail com encriptação que garante a inviolabilidade" aos clientes.



Até à hora de fecho desta peça foi impossível o contacto esclarecedor com outros responsáveis de serviços de webmail identificados como vulneráveis, nomeadamente o Megamail, gerido pela Vodafone Telecel, Netcabo, NetC (agora Vizzavi) e o do IOL. Note-se que a Phibernet afirma em comunicado que pretende ainda testar "outros serviços que permitam a inclusão de
código HTML, tais como serviços de leilões, webnews, chats e discussão
pública" em análise posterior, já que foi considerado que os eventuais problemas não têm consequências tão graves como as dos webmail.

Notícias Relacionadas:

2001-09-24 - Phibernet continua a contestar MBNet