Recebi este e-mail anônimo há alguns dias:
Encontrei o que se poderia chamar de falha de segurança no Stackoverflow. Sou curioso o suficiente para procurar brechas, mas muito ético para realmente fazer algo com elas. No entanto, tenho medo de que, ao apontar o problema, eu seja banido, porque um bom membro não fica bisbilhotando como eu acabei de fazer. Prometo que não fiz nada com o que descobri além de confirmar o buraco.
O senhor deve estar se perguntando por que estou lhe enviando um e-mail pessoalmente, em vez de team@stackoverflow.com. Isso fará sentido quando eu revelar o buraco, que é…
Fiz o login como o senhor.
Como? Bem, havia duas peças do quebra-cabeça, a senha e o provedor openid. Eu tinha uma possível senha; hoje, a publicação do blog do senhor revelou o provedor openid. Fiz o login e me assustei com o fato de que ele realmente funcionoue, em seguida, encerrou a sessão. A única razão pela qual eu tinha a senha é que a senha do senhor é totalmente inadequada para alguém que administra um site como o StackOverflow. Não quero entrar em mais detalhes do que isso, mas o senhor tem uma senha de dicionário!
Li sobre o crachá secreto de “hacker”… se o senhor não vai me punir pela minha transgressão, então revelarei quem sou e com certeza não me importaria de recebê-lo. Ainda assim, entendo que o senhor esteja chateado – eu não gostaria que outra pessoa descobrisse minha senha. (É por isso que envio este e-mail amigável em vez de acumular ou, pior, vender as informações).
Por favor, mude sua senha do openid, antes que alguém menos ético do que eu a encontre.
– Um amigo do site
Esses são os tipos de e-mails que fazem o senhor ficar com o sangue gelado. Ainda bem que não fiz muitos inimigos. Hoje, quero dizer. Até agora. O dia ainda não acabou.
Isso é verdade? Alguém acabou de fazer login como eu? Verifiquei os registros do OpenID e com certeza, havia um login válido de um endereço IP que eu não reconheci. Ele não estava blefando. Ele realmente fez o login como eu.
Embora seja verdade que eu provavelmente deveria ter usado uma senha mais segura, em minha defesa:
- A conta OpenID específica que uso é normalmente para logins de baixo valor, como comentários em blogs e assim por diante. Não é exatamente uma forma de identidade de alta segurança para o uso que tenho em mente.
- A senha foi relativamente simples, mas eu não chegaria ao ponto de caracterizá-la como uma “senha de dicionário” – não era exatamente “password1” ou “monkey” ou “happiness” ou algo do gênero. Era fraca, sim, mas o ataques de senhas de dicionário, como todos os ataques de força bruta, ainda são para manequins.
O que é interessante sobre isso, no entanto, é que o senhor como isso aconteceu. Revelarei isso amanhã, com esta dica: já falei sobre esse tipo exato de vulnerabilidade várias vezes neste mesmo blog.
Até lá, dê o seu melhor palpite: Como o senhor acha que essa pessoa descobriu minha senha? Destacarei a melhor resposta amanhã com a resposta.
* Embora como moderador do Stack Overflow eu tenha poderes incomuns e provavelmente deveria ter usado um OpenID alternativo com mais segurança.