Site da McAfee teve falhas críticas de segurança

Falhas graves de segurança foram descobertas no site da McAfee, empresa de software antivírus e soluções de segurança, que também atua no ramo de certificação de segurança de sites. As vulnerabilidades a ataques de cross-site scripting (XSS) e de falsificação de solicitação de frame (XFS) permitiam que terceiros roubassem senhas e dados dos usuários.

Uma das falhas permitia que criminosos obtivessem informações do site da McAfee, incluindo listas de todas as vulnerabilidades dos sites dos clientes da empresa. Um dos ataques permitia o uso de um selo legítimo do serviço “McAfee Secure”, que ganhou esse nome após a aquisição da desenvolvedora, a ScanAlert, que o chamava de “Hacker Safe”.

Outra vulnerabilidade permitia que criminosos distribuíssem seus códigos maliciosos disfarçados de softwares seguros, certificados pelo teste da McAfee. A reportagem detalhando os problemas foi publicada pelo site ReadWriteWeb. Desde então, a McAfee corrigiu os problemas.

O americano Mike Bailey, pesquisador da área de segurança da informação, expôs outra falha no SiteAdvisor, também da McAfee, em seu blog. Mas, para ele, esse não é um problema isolado, ou específico da McAfee. “Pessoal, vamos tirar o foco da McAfee e colocá-lo onde ele deve estar. A indústria de exame de PCI[1. PCI-DSS é o padrão de segurança exigido para o processamento de pagamento de cartões de crédito. Muitas empresas fazem auditoria para verificar se uma empresa está ou não adequada às exigências do PCI.] inteira é uma piada e, de modo geral, essas empresas de segurança web são elas mesmas péssimas em segurança”, escreveu Bailey.

O mesmo pesquisador já havia alertado para outros problemas da McAfee antes. A empresa diz ter corrigido o problema e tirado do ar temporariamente os serviços ainda afetados. Outras empresas de segurança como a Symantec (Norton Antivirus), F-Secure e Kaspersky já apresentaram falhas semelhantes.

Altieres Rohr colaborou para essa reportagem