2019/02/04

Nonio é um poço de vulnerabilidades


Os grupos editoriais portugueses muito têm apostado no Nónio, que é a sua tentativa de conseguirem obter o mesmo tipo de dados que empresas como o Facebook são acusadas de abusar, e agora descobre-se que para além das questões da privacidade dos utilizadores, é também um poço de vulnerabilidades.

João Pina há muito que tem alertado para o risco de privacidade do Nónio, mas desta vez decidiu dedicar também alguma atenção à parte da segurança... e não demorou a descobrir algumas coisas interessantes. Uma pequena viagem exploratória iniciada pelos registos de DNS depressa se tornou numa verdadeira encruzilhada de possibilidades.

Os servidores de DNS utilizados estavam a expor os seus registos, permitindo descobrir serviços que não deveriam ser anunciados publicamente, e através desses endereços e com uma simples pesquisa no Google, depressa se encontraram serviços que poderiam ser alvo de "exploits" conhecidos que eventualmente poderiam ter permitido a um hacker apoderar-se do servidor e ter acesso a todo o tipo de dados e demais informação que por lá estivesse acessível (potencialmente, lista dos utilizadores registados no Nónio, assim como todo o seu histórico de visitas nos sites da rede).

Esperemos que os responsáveis pelo Nónio se lembrem que, graças a leis como o RGPD, não basta preocuparem-se em recolher dados dos cidadãos portugueses... é preciso também tomar as devidas providências para garantir que são recolhidos e armazenados em segurança. Desta vez tiveram sorte deste serviço de "auditoria" de segurança ter sido feito gratuitamente por alguém com boas intenções; mas ninguém nos garante que seja esse o caso da próxima vez.

10 comentários:

  1. Mas... mas... quem é q se regista numa porcaria de um jornal/revista/etc ?!? Pra fazer comentarios?!?

    ResponderEliminar
  2. Neste momento comigo já me estão a exigir o registo sempre que tento abrir qualquer notícia, mesmo sendo conteúdo "grátis".

    ResponderEliminar
  3. Fakenews. Nenhuma vulnerabilidade. Descobre-se facilmente o endereço do Cacti e o exploit é para uma versão mais antiga. Infelizmente, porque também não gosto nada daquilo.

    ResponderEliminar
    Respostas
    1. "30 January 2019 — Vulnerability found and disclosed to Global Media Group
      31January 2019 — Problems Fixed."

      Eliminar
  4. Já ouvi dizer que outro dos propósitos disto é mesmo o de impedir de aceder a sites de notícias a não ser que se faça o registo no Nonio. Alguma informação sobre isto? Isto juntando à forma vergonhosa como têm tratado as notícias da "taxa dos links" dizendo que as críticas não passam de alarmismo e propaganda das empresas tecnológicas, como se eles não fossem também parte interessada, só me faz crer que estamos na fase final da decadência do jornalismo tuga

    ResponderEliminar
  5. Já estive a pensar que deveria fazer uma lista de todos os web sites de jornais e similares que querem que se registe e/ ou pague para aceder às notícias, só para evitá-los de todo.
    Será isto uma boa ideia?

    ResponderEliminar
  6. Muito francamente, só de ouvir a publicidade ranhosa e irritante na rádio acerca desta idiotice...fez-me logo pensar que temos artistas no ar.

    ResponderEliminar

[pub]