Mudança forçada de nome da empresa “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” (2020)

 (theguardian.com)
2 pontos por GN⁺ 2024-10-26 | 1 comentários | Compartilhar no WhatsApp

  • Mudança forçada do nome da empresa

    • A Companies House forçou a mudança do nome da empresa por motivos de risco de segurança
    • O nome original era “><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD, e era vulnerável a um ataque de cross-site scripting (XSS)
    • A vulnerabilidade foi demonstrada carregando um script do site XSSHunter para exibir uma mensagem de alerta

  • Contexto da mudança de nome

    • Um engenheiro de software britânico fundou a empresa com um nome divertido e provocativo
    • A Companies House reconheceu que esse nome poderia representar um risco de segurança e exigiu sua alteração
    • Nomes semelhantes já haviam sido registrados antes, mas este foi o primeiro caso a provocar uma resposta

  • Medidas de segurança

    • A Companies House tomou medidas imediatas para reduzir o risco de segurança e preparou ações preventivas para evitar casos semelhantes
    • O nome da empresa agora foi alterado para THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD

  • Posição do diretor da empresa

    • O diretor da empresa pensou que não haveria problema, já que o Government Digital Service (GDS) tinha boa reputação em segurança
    • Assim que o problema foi descoberto, ele entrou em contato imediatamente com a Companies House e com o National Cyber Security Centre

Resumo do GN⁺

  • Este artigo trata dos riscos de segurança que podem surgir quando um nome de empresa inclui código HTML
  • Serve de alerta sobre vulnerabilidades de segurança como cross-site scripting (XSS)
  • Entre outros projetos do setor com função semelhante, podem ser recomendadas as diretrizes de segurança da OWASP
  • Este artigo aumenta a conscientização sobre segurança e enfatiza a importância de considerar a segurança ao registrar nomes de empresas

Leituras relacionadas

1 comentários

 
GN⁺ 2024-10-26
Comentários do Hacker News

  • Um usuário compartilhou um caso de exploração do sistema operacional Windows e do software antivírus em um terminal de estacionamento. Ele codificou a string de teste EICAR em um QR code e a escaneou, fazendo com que um pop-up do antivírus cobrisse a tela do terminal e o tornasse inutilizável

  • Um excelente caso de trolling que acabou exigindo mudança na legislação, levando à alteração da lei para impedir que nomes de empresas incluíssem código de computador

  • Em 2014, houve um caso na Polônia em que um motorista adicionou SQL injection à placa do carro para evitar radares de velocidade

  • Uma empresa usou um nome que incluía uma tag de script HTML e acabou sendo legalmente obrigada a mudar de nome

  • O nome do fundador era "ROBERT'); DROP TABLE STUDENTS;", em referência ao famoso caso do Little Bobby Tables

  • Alguém compartilhou uma experiência de por volta de 2000 no Coke Auction, usando script para impedir que outras pessoas dessem lances em leilões. Conseguiu muitos itens, mas no fim a conta foi apagada e recebeu um aviso da Coke UK

  • Foi apontado o problema de não ficar claro, em feeds RSS, se o elemento de título é HTML ou texto simples. O Atom especifica claramente que o elemento de título deve ser tratado como texto simples

  • Foi mencionado que uma empresa foi registrada com caracteres que poderiam criar risco de segurança, mas isso não afetou a própria Companies House, embora alguns clientes possam ter ficado vulneráveis em termos de segurança

  • O artigo de 2020 tratava de casos relacionados