O Lado Oculto Do Império: família Marinho tem imóveis de luxo na mira do Ministério Público Federal
Pesquisadores de segurança de computadores criaram O ataque, publicado online na quinta-feira por pesquisadores da Secure Science, é uma inócua prova de conceito que força os usuários a enviar uma mensagem predeterminada no Twitter., mas pode ser transformado em um verme muito desagradável, disse Lance James, cientista-chefe da Secure Science. "Você pode acoplar um ataque com nosso código e isso acabaria com o Twitter", disse ele.
[Leia mais: Como remover malware do seu PC com Windows]
O hack é semelhante a um ataque de clickjacking que estava circulando no Twitter no mês passado. Lá, os hackers usaram uma técnica sorrateira para enganar os usuários para clicar em um link sem perceber. Esse link postaria a mensagem do Twitter dizendo "não clique" junto com uma URL.
Desta vez, os pesquisadores da Secure Science descobriram uma maneira de aproveitar um erro de programação da Web no site de suporte do Twitter para postar a mensagem indesejada. Após uma mensagem de aviso, o código de teste da Secure Science publica a mensagem: "@XSSExploits Acabei de ser possuído!" para o perfil da vítima.Um usuário mal-intencionado poderia fazer muito pior com esse bug, no entanto, disse James. O ataque poderia ser modificado para que não houvesse tela de aviso, e poderia ser reforçado com uma mensagem sensacional que os usuários teriam mais chances de clicar. Se fosse combinado com um código malicioso de ataque ao navegador, ele poderia ser usado para controlar as máquinas das vítimas, disse James. "Eu estou prendendo a respiração, esperando que ninguém faça algo estúpido neste momento", disse ele.
O Twitter pode desativar o ataque consertando a falha de script entre sites que os pesquisadores da Secure Science estão explorando, mas se outro bug similar aparecesse no site, os usuários seriam confrontados com o mesmo problema novamente.
A questão é agravada pelo fato de que, por causa do limite de 140 caracteres do Twitter, os usuários do Twitter usam links curtos, como o Tinyurl.com, e muitas vezes não têm ideia se estão ou não clicando em um link confiável, disse James. As práticas de segurança têm estado no centro das atenções ultimamente, à medida que o serviço ganhou popularidade. Em janeiro, a empresa instituiu uma análise completa de segurança depois que hackers obtiveram acesso às contas do presidente eleito Barack Obama, da Fox News e da CNN. James disse que espera que sua demonstração leve o Twitter a fazer da segurança uma prioridade.
"Não queremos causar nenhum dano ao Twitter", ele disse.
Pesquisadores criam ataque de phishing indetectável

Pesquisadores descobriram uma maneira de lançar um ataque de phishing indetectável, explorando falhas no algoritmo MD5.
Pesquisadores de segurança estão vendo uma pressão renovada do Gumblar, o nome de um código malicioso que se espalha comprometendo Web legítimos Pesquisadores de segurança estão vendo um ressurgimento do Gumblar, o nome de um código malicioso que se espalha por meio do comprometimento de sites legítimos, mas inseguros. Em maio, milhares de sites foram encontrados hackeados servir um iframe, que é uma maneira de levar o conteúdo de um site para outro. O iframe levou ao domínio "gumblar.cn&qu

O Gumblar também mudou suas táticas. Em vez de hospedar a carga maliciosa em um servidor remoto, os hackers agora colocam esse código em sites comprometidos, dizem os fornecedores da IBM e da ScanSafe. Também parece que o Gumblar foi atualizado para usar uma das vulnerabilidades mais recentes nos programas Adobe Reader e Acrobat, de acordo com o blog IBM Security Systems Frequency X.
Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.

Pesquisadores do provedor de autenticação de dois fatores Duo Security descobriram uma brecha no sistema de autenticação do Google que permitiu ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para conectar aplicativos individuais às contas do Google.