Arquivo da tag: invasão

GitHub alerta sobre vulnerabilidade no gerenciamento das chaves SSHs

Através de um email recebido hoje a tarde (dia 07/03/2012) o GitHub informa sobre uma vunerabilidade que permitia que através de um ataque, a alteração de chaves SSHs dos projetos.

Isso permitia que o atacante pudesse fazer clone/pull/push nos repositórios… A vulnerabilidade foi fechada dia 04 de março de 2012 as 5:53 PM UTC.

Como forma de precaução, todas as chaves SSHs foram desabilitadas e você deve entrar no link: https://github.com/settings/ssh/audit para conferir e liberar as chaves SSHs cadastradas.

Para que isso não aconteça novamente, o email ainda informa que para adicionar novas chaves, agora é necessário informar a senha e um email é enviado avisado que uma nova chave foi adicionada. Em sua conta também irá ter um registro de alterações para poder analisar uma possivel atividade suspeita.

Então é isso… Olhem suas contas e confiram se está tudo ok…

GitHub, Espero que não aconteça de novo =)

E avisem seus amigos para revalidarem as chaves lá no github ou não conseguirão dar pull/pushes 😉

Share

OI Velox invade a privacidade de seus usuários com campanha de seu navegador

Desde o dia 30 de novembro, muitos usuários do OI Velox vem reclamando de terem recebido um spam com a campanha publicitária do novo navegador (Imagem abaixo)

http://navegador.oi.com.br/
http://navegador.oi.com.br/

Não há nada de errado com o navegador disponibilizado pela empresa, a não ser, pela forma inusitada de como foi divulgada.

Infelizmente passei pela experiência na madrugada do dia 02/dez/2010, onde eu estava navegando no site do submarino, e do nada, a minha requisição foi interceptada pela oi velox, e no lugar do produto que escolhi, apareceu a publicidade do navegador oi. (Tela abaixo)

Agora, eu fico me perguntando… E se eu estivesse efetuando uma compra no site ? Essa campanha publicitária poderia atrapalhar e muito no processo.

Ou melhor, uma prova online, daqueles tipos que tem uma mensagem “Verifique sua conexão de internet, para que não haja interrupção durante o teste”. Esses tipos de provas são aplicadas por empresas de RH por exemplo.

Continuei olhando a página do navegador, e fiquei surpreso quando li o conteúdo dessa página…

Para quem não consegue ler da imagem, vou transcrever abaixo:
O serviço NÃO ESTÁ ATIVO para esta conta de usuário neste computador. Se desejar desativar também para todas as contas de usuário e todos os computadores em sua CASA, clique no botão “Desativar para a sua CASA”.

Não satisfeitos em interceptar a conexão no meu computador, ele ainda me diz que vai fazer isso com todos os computadores da casa. Não teve jeito, corri no meu outro computador (um desktop velhinho), e comecei a navegar até que finalmente a mensagem apareceu, e como sempre, indevidamente.

Investigando o problema mais a fundo, descobri que o site da OI cria cookies locais para identificar os usuários que optaram ou não pelo uso do navegador. Sabe o que isso significa ? Que se você limpar seus cookies, logo a mensagem do navegador da oi aparecerá para você novamente !!!

Não acredita que ele faz essas verificações com cookies ? É tudo tão ridículo, que está escrito na política de privacidade, no item cookies (http://navegador.oi.com.br/status/politica_de_privacidade.html)

Tenho certeza que existem leis que proibem esse tipo de atitude. Quando eu assinei o Oi Velox, assinei um provedor de internet e não lembro de ter aceitado nada referente a campanhas publicitárias, principalmente as que invadem a sua tela, interrompendo a minha experiência de navegação…

Agora, o que esse tal navegador faz ? Monitora você… Todos os links que você clicar, todas as buscas que fizer, ele armazena tudo… Com simples propósta de armazenar para te sugerir links de acordo com o seu perfil.

Mas na verdade esse rastreamento é de interesse da OI e seus parceiros, que permite a segmentação do público por publicidade fornecida. Assim fica mais fácil de mostrar anúncios de esporte para que navega muito nas páginas de esporte…

O pior dessa história toda, é que esse rastreamento não é explicado com clareza para os usuários. Não sabemos ao certo, o que pode ser feito com todos esses dados coletados e muito menos a que nível de segurança eles estão guardados.

Isso para mim é uma trapaça, onde é fornecido um serviço( como uma máscara) que promete facilitar a navegação, mas em troca, todo o seus histórico de acesso e navegação ficam a disposição da Oi…

O Serviço é tão ruim, que eu habilitei só para testar e também para poder escrever essa matéria, e depois não consegui achar nenhum link para desativar, ou quepudesse me informar se o serviço estava ativo ou não.

Depois de tanto procurar, achei o link abaixo e parece que consegui desativar. Mas infelizmente, não há nenhum link que possa me garantir que esse serviço não está ativo.

Conclusão: Recomendo que NÃO habilitem esse serviço !! Visite o link: http://navegador.oi.com.br/status/desativado.html e escolha a opção: Desativar para sua a casa. Na dúvida, exclua os seus cookies de navegação para garantir que ainda está no sigilo de sua navegação.

Curiosidade para reforçar a matéria… Você usuário velox, experimente digitar algum link errado… Ao invés de receber a tradicional página não encontrada, aparece uma página da oi, com muitos banners publicitários relacionado ao link que você digitou errado ! Sensacional não ? Até na página de erro existe uma exploração comercial…


Deixo essa matéria em aberto para quem quiser compartilhar a sua opnião…

Share