Olhar Digital > Segurança e Privacidade > Microsoft paga R$ 280 mil a pesquisador que encontrou bug de roubar contas

Microsoft paga R$ 280 mil a pesquisador que encontrou bug de roubar contas

Falha foi descoberta em novembro de 2020 pelo pesquisador Laxman Muthiyah, que recebeu US$ 50 mil de bonificação da Microsoft
Por Rafael Arbulu, editado por Wellington Arruda 04/03/2021 17h53
Windows Server 2022 terá melhorias de segurança como o Secured-core
Microsoft anuncia Windows Server 2022 com novos recursos de segurança Imagem: Alberto Garcia Guillen /shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Um bug descoberto em novembro de 2020 permitia que hackers roubassem contas da Microsoft por meio do código de verificação usado pela empresa em seu sistema de recuperação de acesso. Pela descoberta, o pesquisador responsável ganhou US$ 50 mil (R$ 280,87 mil na conversão direta) como bônus da empresa, que já corrigiu a falha de segurança.

Ofertas
Offroad Jeep Driving Simulator 3D - Ultimate 4x4 Offroad Mountain Driving Games
Vendido por Amazon
Offroad Jeep Driving Simulator 3D - Ultimate 4x4 Offroad Mountain Driving Games
Por R$ 63,96
Agenda Diaria Executiva 2026 Capa Dura em Couro Sintético Planner Diario Caderno Anotações Anual Escolar Trabalho A5 (Marrom)
Vendido por Amazon
Agenda Diaria Executiva 2026 Capa Dura em Couro Sintético Planner Diario Caderno Anotações Anual Escolar Trabalho A5 (Marrom)
De: R$ 44,90
Por: R$ 39,90
Painel Central Inteligente Wi-Fi e Hub Zigbee NovaDigital PCI01-Z C Tuya e Smart Life Comando de Voz Compatível com Alexa e Google Assistente
Vendido por Amazon
Painel Central Inteligente Wi-Fi e Hub Zigbee NovaDigital PCI01-Z C Tuya e Smart Life Comando de Voz Compatível com Alexa e Google Assistente
De: R$ 915,41
Por: R$ 678,90
Peak Game; Hill Climber – Mountain Climbing Adventure & Survival Challenge
Vendido por Amazon
Peak Game; Hill Climber – Mountain Climbing Adventure & Survival Challenge
Por R$ 11,09
Royale Knockout Run: Fun Race Challenge
Vendido por Amazon
Royale Knockout Run: Fun Race Challenge
Por R$ 37,69
Dino T-Rex Runner: Offline Endless Jump Adventure Game – Dinosaur Arcade Action & Survival Challenge
Vendido por Amazon
Dino T-Rex Runner: Offline Endless Jump Adventure Game – Dinosaur Arcade Action & Survival Challenge
Por R$ 9,53
Romantic Crown Mochila de Viagem Expansivel Masculina Feminina, Mochila Para Notebook Executiva Impermeável Reforçada Cabo USB, Trabalho, Escola, Viagens (Preto)
Vendido por Amazon
Romantic Crown Mochila de Viagem Expansivel Masculina Feminina, Mochila Para Notebook Executiva Impermeável Reforçada Cabo USB, Trabalho, Escola, Viagens (Preto)
De: R$ 119,99
Por: R$ 112,00
US Army Vehicle Transport : Army Truck Driving Simulator Game 2025
Vendido por Amazon
US Army Vehicle Transport : Army Truck Driving Simulator Game 2025
Por R$ 64,55
Samsung Galaxy Watch Ulta Smartwatch 47mm LTE- Titânio Azul
Vendido por Amazon
Samsung Galaxy Watch Ulta Smartwatch 47mm LTE- Titânio Azul
De: R$ 4.999,00
Por: R$ 2.359,00
Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V
Vendido por Amazon
Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V
De: R$ 2.499,00
Por: R$ 1.998,89
Freezer Vertical Consul 231 Litros - CVU26FB 110V
Vendido por Amazon
Freezer Vertical Consul 231 Litros - CVU26FB 110V
De: R$ 3.279,35
Por: R$ 2.498,89
WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V
Vendido por Amazon
WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V
De: R$ 599,90
Por: R$ 491,92
MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W
Vendido por Amazon
MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W
De: R$ 189,90
Por: R$ 129,90
Climatizador de Ar Digital Midea 127V 60Hz
Vendido por Amazon
Climatizador de Ar Digital Midea 127V 60Hz
De: R$ 529,99
Por: R$ 412,69
Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm
Vendido por Amazon
Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm
De: R$ 799,00
Por: R$ 592,00
Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm
Vendido por Amazon
Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm
De: R$ 3.799,00
Por: R$ 3.598,94
Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica
Vendido por Amazon
Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica
Por R$ 799,00
PlayStation DualSense Controle sem fio – Branco
Vendido por Amazon
PlayStation DualSense Controle sem fio – Branco
De: R$ 499,90
Por: R$ 369,00
Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt
Vendido por Amazon
Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt
De: R$ 2.489,00
Por: R$ 1.616,02
MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P
Vendido por Amazon
MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P
Por R$ 259,90
Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W
Vendido por Amazon
Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W
De: R$ 3.599,00
Por: R$ 3.099,00
Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v
Vendido por Amazon
Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v
De: R$ 299,90
Por: R$ 199,00
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
Vendido por Amazon
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
De: R$ 249,00
Por: R$ 166,19
Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)
Vendido por Amazon
Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)
De: R$ 899,90
Por: R$ 399,00
WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt
Vendido por Amazon
WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt
De: R$ 229,90
Por: R$ 132,00
CAMERA INSTAX MINI 12 ROSA GLOSS
Vendido por Amazon
CAMERA INSTAX MINI 12 ROSA GLOSS
De: R$ 649,00
Por: R$ 473,00

Segundo Laxman Muthiyah, o responsável pela descoberta, o bug usava técnicas de força bruta no sistema da Microsoft a fim de descobrir o código de sete dígitos enviado pela empresa aos usuários pelo sistema de recuperação – para os leigos, é a tecnologia por trás do “Esqueci minha Senha”. Normalmente, quando a opção é selecionada, a Microsoft envia um código numérico para confirmar a identidade do usuário, via e-mail, mensagem de texto ou aplicativo autenticador.

Bug em sistema da Microsoft deixava sua conta vulnerável a roubos
Sistema de recuperação de contas da Microsoft estava vulnerável a ataques que permitiriam, em tese, roubar o seu acesso para hackers. Imagem: The Zero Hack/Reprodução

Os códigos gerados pela Microsoft são sempre aleatórios, mas os sete dígitos que os constituem possuem um volume fixo de possibilidades numéricas: 11 milhões de possíveis combinações, para ser exato. A empresa possui um sistema de criptografia que impede o uso de tecnologias automatizadas de tentativa de números, mas Muthiyah disse que, com um pouco de esforço, foi capaz de quebrar essa segurança, permitindo que ferramentas de “adivinhação”, ou seja, um script que “chuta” centenas ou até milhares de combinações em segundos, fosse aplicado e o código, eventualmente, fosse descoberto.

“Eu percebi que eles colocam os endereços de IP mesmo que os pedidos de confirmação não atinjam o servidor ao mesmo tempo”, disse o pesquisador em seu relatório técnico. Segundo ele, “apenas alguns milissegundos de atraso permitiam ao servidor detectar o ataque e bloquear o invasor”.

Muthiyah ressaltou que, ainda que esse tipo de ataque seja mais eficaz em contas que não tenham a autenticação em dois fatores ativada, perfis mais protegidos por ela também poderiam se ver em risco com essa manobra. “Se juntarmos tudo, um hacker teria que enviar todas as possibilidades de combinações de seis e sete dígitos, o que seria algo em torno de 11 milhões de tentativas, de forma concomitante à mudança de senha de qualquer conta da Microsoft (incluindo aquelas com a autenticação em dois fatores ativada)”.

Imagem mostra uma janela de programa de computador, com diversos números e letras combinados em linhas, formando um código de ação automatizada.
Resumo das ações de um script automatizado, mostrando as tentativas variadas de “adivinhação” de códigos de segurança. Imagem: The Zero Hack/Reprodução

Além do bug na Microsoft, Laxman Muthiyah aplicou uma técnica similar no Instagram, também obtendo relativo sucesso: no teste, ele enviou cerca de 200 mil pedidos concomitantes de recuperação de senha de aproximadamente mil máquinas diferentes, percebendo que o roubo de uma conta na rede social também era possível de ser feito assim. Pela descoberta, ele recebeu do Facebook um bônus de US$ 30 mil (R$ 168 mil).

Se os números das máquinas lhe parece muito alto ou muito completo, não se engane. Muthiya disse que, hoje em dia, qualquer serviço de nuvem – como da Amazon ou do Google – oferecem capacidades de criação de máquinas virtuais. Nas palavras do pesquisador, em uma situação real de ataque, um hacker precisaria de cerca de cinco mil endereços de IP para executar um roubo do tipo – o que “custaria cerca de US$ 150 (R$ 840) para executar uma ação completa com um milhão de códigos”.

Fonte: The Zero Hack

Redator(a)
Rafael Arbulu no Facebook Rafael Arbulu no Instagram Rafael Arbulu no Twitter Rafael Arbulu no LinkedIn Rafael Arbulu no Youtube

Jornalista formado pela Universidade Paulista, Rafael é especializado em tecnologia, cultura pop, além de cobrir a editoria de Ciências e Espaço no Olhar Digital. Em experiências passadas, começou como repórter e editor de games em diversas publicações do meio, e também já cobriu agenda de cidades, cotidiano e esportes.

Redator(a)

Wellington Arruda é redator(a) no Olhar Digital

Ícone tagsTags: