2019/02/04
Nonio é um poço de vulnerabilidades
Os grupos editoriais portugueses muito têm apostado no Nónio, que é a sua tentativa de conseguirem obter o mesmo tipo de dados que empresas como o Facebook são acusadas de abusar, e agora descobre-se que para além das questões da privacidade dos utilizadores, é também um poço de vulnerabilidades.
João Pina há muito que tem alertado para o risco de privacidade do Nónio, mas desta vez decidiu dedicar também alguma atenção à parte da segurança... e não demorou a descobrir algumas coisas interessantes. Uma pequena viagem exploratória iniciada pelos registos de DNS depressa se tornou numa verdadeira encruzilhada de possibilidades.
Os servidores de DNS utilizados estavam a expor os seus registos, permitindo descobrir serviços que não deveriam ser anunciados publicamente, e através desses endereços e com uma simples pesquisa no Google, depressa se encontraram serviços que poderiam ser alvo de "exploits" conhecidos que eventualmente poderiam ter permitido a um hacker apoderar-se do servidor e ter acesso a todo o tipo de dados e demais informação que por lá estivesse acessível (potencialmente, lista dos utilizadores registados no Nónio, assim como todo o seu histórico de visitas nos sites da rede).
Esperemos que os responsáveis pelo Nónio se lembrem que, graças a leis como o RGPD, não basta preocuparem-se em recolher dados dos cidadãos portugueses... é preciso também tomar as devidas providências para garantir que são recolhidos e armazenados em segurança. Desta vez tiveram sorte deste serviço de "auditoria" de segurança ter sido feito gratuitamente por alguém com boas intenções; mas ninguém nos garante que seja esse o caso da próxima vez.
Mas... mas... quem é q se regista numa porcaria de um jornal/revista/etc ?!? Pra fazer comentarios?!?
ResponderEliminarNeste momento comigo já me estão a exigir o registo sempre que tento abrir qualquer notícia, mesmo sendo conteúdo "grátis".
ResponderEliminar+1. Fecho logo a seguir...
EliminarPor aqui igual lol
Eliminar"Morte da imprensa portuguesa v2.0"
ResponderEliminarFakenews. Nenhuma vulnerabilidade. Descobre-se facilmente o endereço do Cacti e o exploit é para uma versão mais antiga. Infelizmente, porque também não gosto nada daquilo.
ResponderEliminar"30 January 2019 — Vulnerability found and disclosed to Global Media Group
Eliminar31January 2019 — Problems Fixed."
Já ouvi dizer que outro dos propósitos disto é mesmo o de impedir de aceder a sites de notícias a não ser que se faça o registo no Nonio. Alguma informação sobre isto? Isto juntando à forma vergonhosa como têm tratado as notícias da "taxa dos links" dizendo que as críticas não passam de alarmismo e propaganda das empresas tecnológicas, como se eles não fossem também parte interessada, só me faz crer que estamos na fase final da decadência do jornalismo tuga
ResponderEliminarJá estive a pensar que deveria fazer uma lista de todos os web sites de jornais e similares que querem que se registe e/ ou pague para aceder às notícias, só para evitá-los de todo.
ResponderEliminarSerá isto uma boa ideia?
Muito francamente, só de ouvir a publicidade ranhosa e irritante na rádio acerca desta idiotice...fez-me logo pensar que temos artistas no ar.
ResponderEliminarO melhor removedor de NONIO "NONIOBlocker", disponivelpara Chrome e Firefox: https://chrome.google.com/webstore/detail/nonioblocker/mgjhmbdcblaeiplecddckgalpiceoiaj
ResponderEliminar