Falta de proteção no Gmail pode aumentar riscos de crimes após vazamento de informações pessoais

A digital scene depicting a concerned individual examining their laptop with a visual overlay of digital vulnerabilities and data breaches illustrated by broken locks and warning signs, symbolizing the risks associated with the lack of protection in email services like Gmail. no texts on scene. Keywords: photorealistic style, high resolution, 4k details, HDR, cinematic lighting, professional photography, studio lighting, vibrant colors.

A ausência de um recurso de segurança em contas corporativas do Gmail pode facilitar a ação de criminosos. O cenário foi notado por um caçador de bugs brasileiro: o encaminhamento automático de e-mails não gera avisos em contas com domínio próprio, diferentemente do que acontece em contas com o @gmail.com. Essa forma de “clonar” a conta do Gmail é potencialmente perigosa quando somada a vazamentos de dados, cada vez mais comuns no Brasil.

Conteúdos da Matéria
Por que a ausência de aviso é um problema?“Entrar no e-mail de alguém não é difícil”Google diz que suposto bug é uma “feature”Perguntas Frequentes sobre Segurança em Contas Corporativas do Gmail

Quem identificou o problema foi Leandro Duarte, ainda em 2017, quando tinha apenas 14 anos. O suposto bug foi relatado ao Google em dezembro de 2019.

Ao Tecnoblog, o jovem de Paraisópolis, comunidade da zona Sul da capital paulista, relata que notou a situação ao tentar redirecionar mensagens de vários e-mails para uma única caixa de entrada:

“Eu percebi que era um bug porque, na hora de redirecionar mensagens de um e-mail X para outro e-mail Y, o Gmail mostra um banner vermelho na versão da plataforma para desktop na versão web outras contas com domínio do Gmail e não de domínio próprio, como uma conta @gov.br, por exemplo.”

Leandro é conhecido como bug hunter — uma espécie de caçador de falhas — por apontar brechas em outros sites. Ele já apontou bugs de vazamento de dados para a plataforma israelita Lush, e uma vulnerabilidade de injeção de SQL no site da Universidade de Stanford. O jovem já participou de alguns eventos relacionados a tecnologia, como o CS 15, realizado pela universidade de Harvard, e o Estação Hack, do Facebook.

Por que a ausência de aviso é um problema?

O fato de o Gmail permitir o compartilhamento de e-mails não é uma falha de segurança, já que o encaminhamento é uma função padrão entre contas do Gmail. Mas, caso os dados do usuário sejam vazados, a ausência do aviso de encaminhamento pode ser explorada para comprometer a conta Gmail da vítima.

Como descreve Leandro, a ativação do recurso de encaminhamento funciona da seguinte forma:

  1. Dentro do Gmail, o usuário primeiro abre a seção de POP/IMAP. As duas são ferramentas diferentes para acessar a caixa de entrada do e-mail. O IMAP permite o acesso de uma conta de e-mail por diferentes dispositivos, enquanto o POP é usado para acesso único por um aparelho.
  2. Ao acessar o POP/IMAP, o usuário tem acesso à aba de “adicionar um endereço de encaminhamento” para que outras contas possam receber as mensagens recebidas.
  3. Um código de confirmação numérica será enviado. O problema é que ele chega no e-mail do terceiro, ao qual o golpista tem acesso. Essa era para ser uma “trava de segurança”, mas na realidade facilita o golpe.
  4. Uma vez confirmado o código, o usuário pode ativar o redirecionamento automático, recebendo uma cópia de todos os e-mails em outra conta.
  5. Ao descer na página, o usuário pode ativar o POP e IMAP, habilitando a opção de “Ativar POP para todos os e-mails (mesmo os que já foram baixados)”.
  6. Após salvar alterações, todos os e-mails recebidos serão redirecionados para o endereço selecionado.

Leandro avisa que o golpe só acontece se alguém tiver acesso ao seu e-mail pessoal ou corporativo, mas reforça que isso não é muito difícil: basta que eles tenham sido vazados na internet.

“Entrar no e-mail de alguém não é difícil”

O jovem que descobriu a brecha na segurança conta que há, por exemplo, um método simples para descobrir e-mail e a senha de um usuário — um pacote completo preferido de qualquer invasor. Leandro está prestes a lançar um livro chamado Hackear sem Programar, que ensina sobre métodos e brechas de segurança.

Através de uma plataforma, Leandro explica que é possível obter o e-mail de alguém que teve seus dados vazados. Se você examina um e-mail nessa plataforma, consegue inclusive obter a senha da pessoa em .txt, o que é ainda mais perigoso se a pessoa usa a mesma senha para vários aplicativos ou sites.

Além disso, é viável completar esse processo por meio de SMS. Se um aplicativo da Google Play Store pede acesso ao app de mensagens de texto e a pessoa aceita, o aplicativo pode subir mensagens sms para a nuvem, expostas a quem procura.

Para e-mails corporativos do Workspace, o usuário não é notificado se alguém se aproveita da função de “encaminhar”. Isso intensifica o problema, pois, a não ser que o usuário desabilite o compartilhamento manualmente, ele sequer notará a ausência de segurança.

O repórter do Tecnoblog testou e não foi notificado sobre o encaminhamento para outra conta. Ele tentou mudar a senha com a expectativa de interromper o redirecionamento, mas isso não funcionou; as mensagens continuaram a ser enviadas para a conta do golpista.

Google diz que suposto bug é uma “feature”

Leandro entrou em contato com o Google, conforme afirmado no início da matéria. A empresa respondeu reconhecendo a existência do problema, mas, segundo eles, isso não é um bug. Em sua comunicação, um funcionário afirmou:

“Gostaríamos que você soubesse que discutimos isso com o time responsável pelo Gmail, e concluímos que esse recurso para o Workspace seria interessante de ser implementado para contas de clientes, e, portanto, não vamos rastrear o bug como uma vulnerabilidade, mas sim como um pedido para implementar um novo recurso.”

“Criamos nosso Programa de Recompensas de Vulnerabilidade especificamente para identificar e corrigir possíveis bugs como este. Agradecemos a participação do pesquisador e da comunidade de segurança em geral.”

O problema persiste, e Leandro continua sua busca por um caminho que proteja os usuários dessa vulnerabilidade. Essa situação destaca a necessidade urgente de melhorias na segurança de contas corporativas do Gmail.

Leia também: Como criar um e-mail gratuito no Gmail pelo celular ou PC

Perguntas Frequentes sobre Segurança em Contas Corporativas do Gmail

  • Por que meu e-mail pode ser encaminhado sem notificação?
    A gestão do encaminhamento de e-mails em contas corporativas não possui um aviso, o que pode levar à exploração de vulnerabilidades.
  • Como posso proteger minha conta do Gmail?
    Utilize senhas fortes, ative a autenticação em dois fatores e evite compartilhar dados pessoais desnecessariamente.
  • O que é 2FA e como funciona?
    A autenticação em dois fatores (2FA) adiciona uma camada extra de segurança ao exigir um segundo método de verificação além da senha.
  • Quais são os riscos de não usar 2FA?
    Sem 2FA, sua conta está mais vulnerável a invasões, especialmente se sua senha for descoberta ou vazada.
  • Um invasor pode acessar minhas mensagens de texto?
    Sim, se um aplicativo obtiver permissões indevidas, ele pode acessar mensagens de texto e outros dados pessoais.
  • Quais cuidados ter ao usar e-mails corporativos?
    Sempre fique atento a e-mails suspeitos, alterações inesperadas na sua conta e revise suas configurações de segurança.
  • Como posso relatar um problema de segurança?
    Você pode entrar em contato diretamente com o suporte do Google para relatar vulnerabilidades.
  • É seguro usar o Gmail para informações sensíveis?
    Embora o Gmail tenha medidas de segurança, sempre é recomendável usar um serviço de e-mail que atenda às suas necessidades específicas de segurança.
Compartilhe nas Redes:

Artigos Recentes