No seguimento do polémico caso do investigador Nightmare Eclipse, que acusa a Microsoft de o atacar pessoalmente e publicamente, temos mais um investigador que diz ter optado pela revelação pública da falha para não ter que enfrentar a péssima experiência de lidar com o sistema de envio de vulnerabilidades.
O investigador de segurança, Ammar Askar, revelou publicamente uma vulnerabilidade crítica no GitHub que pode permitir o roubo de tokens de acesso através de um simples clique num link malicioso. A falha afecta o GitHub.dev, a versão baseada no browser do editor VS Code, e poderá dar a atacantes acesso de leitura e escrita a todos os repositórios associados à conta da vítima, incluindo projectos privados.
O problema estará relacionado com os chamados "webviews" do VS Code, que conseguem transmitir eventos do teclado para o editor principal. Através de um repositório especialmente preparado, um atacante pode simular sequências de teclas, instalar uma extensão local, e contornar verificações de confiança do VS Code para obter o token de autenticação do utilizador.
O investigador diz ter optado por revelar a vulnerabilidade sem seguir o processo tradicional de divulgação de falhas devido às (más) experiências anteriores com o Microsoft Security Response Center (MSRC) e com o GitHub, que o levaram a perder a confiança no processo. Algumas das falhas reportadas anteriormente foram corrigidas sem reconhecimento do seu trabalho, ou foram consideradas com estando "fora do âmbito" dos programas de recompensa.‼️🚨 BREAKING: Another researcher skipped coordinated disclosure entirely and dropped a critical 1-click GitHub token theft in public because he doesn't want to deal with MSRC. In his own words: "I really don't want to deal with MSRC on VSCode bugs."
— International Cyber Digest (@IntCyberDigest) June 2, 2026
The bug: just clicking a… pic.twitter.com/6Hmtjja1MY
A publicação de uma prova de conceito funcional reacendeu o debate sobre os processos de divulgação de vulnerabilidades e a relação entre investigadores independentes e as grandes empresas tecnológicas. Até ao momento, não são conhecidos detalhes sobre uma correcção oficial para a falha, sendo necessário cautela redobrada ao abrir repositórios ou links desconhecidos no GitHub.dev até que a situação seja esclarecida.
Sem comentários:
Enviar um comentário (problemas a comentar?)