Não Hospede sua página no Kit.Net, uma falha grave foi encontrada.

            Até o inicio da noite do dia 15 de fevereiro (sábado), o provedor de hospedagem Kit.net, da Globo.com, possuía uma falha grave em seu servidor. A brecha de segurança, revelada pela equipe do site Total Security, permitia que um atacante acessasse qualquer conta do kit.net, mesmo sem saber a senha, e fizesse qualquer modificação nos sites, inclusive eliminar um por um.
           O problema se encontrava em uma falha de autenticação do servidor de FTP(File Transfer Protocol) do Kit.net. Quem consegue acesso à conta FTP geralmente tem controle total sobre o sistema, podendo incluir, eliminar, ler ou modificar qualquer arquivo.
           No caso do Kit.net, bastava saber o login, que geralmente é o próprio do site. A senha era burlada com um comando de dois caracteres (^w - circunflexo e w), que podia ser usado para todas as contas. A falha também foi constatada pelo site de segurança Info-Guerra. A partir disso, os dois sites (Total Security e Info-guerra) se empenharam para entrar em contato com a equipe de segurança da Globo.com, o que já havia sido tentado duas vezes antes, sem sucesso.
           O supervisor de operação do data center, Anderson Lopes, disse que foram tomadas medidas emergenciais e o servidor foi bloqueado. De fato, a partir daquele momento, os usuários com contas no kit.net não mais conseguiram acessar o serviço FTP mesmo com as senhas verdadeiras. Lopes disse que o problema foi repassado para os analistas de segurança, e a diretoria determinou que os detalhes sobre a falha e as providências tomadas só seriam fornecidos após análise mais profundas. Até o momento em que essa matéria foi ao ar, nas primeiras horas de domingo, as tentativas de acesso ao serviço FTP, por intermédio de programas ou pelo endereço ftp.kit.net, falhavam e retornavam uma mensagem de 'time-out' (tempo de conexão esgotado). Só era possível transferir arquivos pelo gerenciador de arquivos, no site do provedor. Há um mês, alguns crackers já estavam se aproveitando da falha, inicialmente "para se exibirem", desfigurando e derrubando sites hospedados pelo Kit.net. mas depois surgiu a idéia de fraudar o concurso de sites promovidos pelo provedor, no qual são oferecidos prêmios em dinheiro que vão de R$ 50 a R$ 30 mil. O plano consistia em entrar em alguns sites, baixar a página de votação e alterar o código original para o código do site de que se queria aumentar os votos artificialmente. Depois disso, era só colocar a página novamente no site invadido e esperar que os votos fossem automaticamente desviados. Felizmente, a informação sobre a falha circulava em grupos restritos, e o truque para fraudar o concurso começou a ser utilizado apenas um dia antes antes da falha ser comunicada à Globo.
           Mas, não é a primeira que se encontram falhas de autenticação em serviços da Globo.com. Há mais ou menos cinco meses, havia uma falha no serviço de web-mail da empresa, que permitia, por meio de simples exploit's, alterar a senha de qualquer um de seus usuários de e-mail e, com isso, ler todas as suas mensagens. Também era possível que outra pessoa recuperasse um senha cadastrada por um usuário. Dava um pouco mais de trabalho, mas não era impossível.
           Após a Globo ter inaugurado um provedor de acesso e passado a cadastrar usuários pagantes, foi descoberta uma falha de programação no formulário de cadastro. O bug permitia que um usuário pagante se cadastrasse com o mesmo login de um usuário de e-mail gratuito da empresa. Essa falha também foi informada pela Total Security à Globo.come já deve ter sido corrigida.
           Quase na entrega desse texto ao editor, o Info-Guerra recebeu informação de que o kit.net teria mais um problema, que consistia em um usuário recém-criado poder roubar subdomínio de usuários antigos. Não conseguimos verificar com exatidão qual seria a data-limite entre um subdomínio criado no kit.net que estava seguro e o que não estava seguro. Mas depois de criado ou roubado um subdomínio, o mesmo já estava, não podendo mais ser roubado por outra pessoa (nem mesmo pelo seu antigo dono). A falha novamente foi informada à equipe de segurança da Globo.com e, até a entrega desta matéria, não foram apresentada soluções para o fato, declarando apenas ser uma "falha técnica" (óbvio, né?).
            Escrito por Giordani Rodrigues, editor do site de segurança www.infoguerra.com.br
            Adaptdo por Marcelo Gomes, administrador da Total Security.