Microsoft corrige falha no Teams que permitia roubar contas usando GIFs
Créditos: Microsoft

Microsoft corrige falha no Teams que permitia roubar contas usando GIFs

Hackers poderiam usar imagens animadas para invadir privacidade dos usuários

A Microsoft lançou uma atualização para corrigir uma falha de segurança na sua plataforma de comunicação de colaboração Teams. Através dessa vulnerabilidade, pessoas mal-intencionadas poderiam usar GIFs ou o envio de links para roubar a sua conta no serviço.

20/03/2020 às 14:28
Notícia

Microsoft Teams cresce quase 40% em uma semana por causa do H...

Ele atingiu a marca de mais de 44 milhões de usuários diários ativos na última quarta-feira

A falha de segurança tinha sido descoberta pela CyberArk, empresa especializada em segurança que também trabalhou com a Microsoft para corrigir o problema. Tanto usuários do aplicativo para desktop quanto aqueles que se aproveitavam da versão para navegadores estavam sujeitos a possíveis ataques.

Apesar disso, como informa o site Windows Central, seria necessária uma forma bastante sofisticada de ataque para se aproveitar da vulnerabilidade. Para isso, um hacker mal-intencionado teria que criar e compartilhar um GIF ou link malicioso dentro do Microsoft Teams.

No caso do link, a vítima precisaria clicar nele para ficar vulnerável, enquanto bastaria visualizar o GIF para estar sujeito ao ataque. Qualquer uma dessas ações iria enviar um token de autenticação para um servidor controlado pelo criminoso.

"Mesmo se um hacker não obter muita informação de uma conta do Teams, eles poderiam ainda assim usar a conta para navegar através de uma organização (tipo uma minhoca). Eventualmente, o agressor teria acesso a todos os dados das contas do Teams daquela organização – obtendo informações confidenciais, dados de reuniões e agendas, dados competitivos, segredos, senhas, informações privadas, planos de negócio, etc.".
Relatório final de segurança da CyberArk

Usando esses dados, o hacker poderia ler as mensagens das pessoas, enviar mensagens fingindo ser alguém que não é, criar grupos e controlar a conta do Teams de diversas outras maneiras.

"Talvez algo que seja ainda mais assustador é que eles também poderia usar essa vulnerabilidade para enviar falsas informações para funcionários – ao impersonar um líder da organização em que todos confiem – levando a danos financeiros, confusão, vazamento direto de dados e mais".
Relatório final de segurança da CyberArk

Via: Windows Central
User img

Carlos Felipe

Apaixonado por games desde os 6 anos de idade, quando ganhou um Playstation, época em que também se divertia com o Super Nintendo dos outros. Em 2005 migrou parao PC, e aí começou a se interessar por tecnologia também. Apesar disso, nunca conseguiu largar a preferência por jogos de corrida e de esporte, principalmente os de futebol. Estuda jornalismo na Universidade Federal de Santa Catarina.

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.