Hacker descobre como invadir documentos do Google Drive e recebe R$ 16 mil

O pesquisador de segurança Sreeram KL descobriu uma falha no Google Docs que poderia dar a um hacker acesso ao conteúdo de documentos armazenados no serviço.

A falha estava localizada na ferramenta “Send Feedback” (“Ajude a melhorar o Documentos Google”, na versão em português do Docs), que permite que os usuários sugiram melhorias ou reportem ao Google problemas no editor de textos. Nesta ferramenta há uma opção para enviar, junto com um comentário, um screenshot do documento atualmente aberto.

Segundo Sreeram KL, a falha no Google Docs consiste em um meio de redirecionar os dados que compõem este screenshot para outro domínio, controlado por ele, “roubando” a imagem que deveria ser enviada aos servidores do Google. O vídeo abaixo demonstra o fluxo do ataque:

Explorar esta falha no Google Docs requer interação do usuário e os dados roubados são limitados à parte do documento que está atualmente visível na tela, ou seja, é um algo muito específico. Mas ainda assim, ela representa um risco de exposição de informações pessoais . E devemos lembrar que os hackers são bons em fazer uma vítima caminhar direto para uma armadilha.

A falha, que foi reportada em julho e corrigida recentemente, rendeu ao pesquisador US$ 3.133,70 (cerca de R$ 16,4 mil) como parte do programa de recompensas do Google , que incentiva pesquisadores a encontrar e reportar falhas de segurança nos produtos da empresa.