snapchatVocê tem que dar crédito para os spammers pelo esforço: a Symantec encontrou uma campanha de spam que atingiu três serviços web ao mesmo tempo.

Começou com o Snapchat, quando alguns usuários receberam uma mensagem não solicitada que pedia ao usuário para adicionar um contato como amigo no Kik Messenger – um aplicativo de mensagem instantânea, escreveu o gerente de segurança da Symantec, Satnam Narang, no blog da empresa.

O Snapchat se desculpou no ultimo dia 13 de Janeiro, pelos problemas relacionados aos spams, dizendo que o incidente foi consequência do rápido crescimento do serviço. Foi recomendado aos usuários que permitissem apenas que seus amigos enviassem fotos em vez de receber fotos não solicitadas.

Narang escreveu que se um contato de spam for adicionado ao Kik, um spambot – ou programa projetado para conversar automaticamente com contatos – poderia enviar algum texto ou link malicioso, reduzido por meio do Bitly. O link leva a sites de entretenimento adulto.

Parte dos links bitly maliciosos podem parecer familiares. “Os spammers encontraram uma maneira de criar seus próprios links usando domínios encurtados de empresas para enganar usuários com um falsa sensação de segurança”, escreveu.

A Symantec identificou que os links Bitly gerados com domínios personalizados pertencentes a marcas e companhias conhecidas como a USA Today, National Geographic, The New York Post, Red Hat e MIT News, entre outros.

Os domínios personalizados podem ser registrados com o Bitly, desse modo há um identificador único ao final do link encurtado que leva a pessoa ao conteúdo completo. Os spammers abusaram dos domínios personalizados por meio de um problema na configuração da API (interface de programação da aplicação) – o que deixou a chave API visível.

“O Bitly confirmou que alguns spammers tiveram acesso às chaves API do serviço pertencentes a várias marcas”, disse Narang.

O Bitly disse, por meio de um e-mail ao IDG News Service, que está trabalhando em conjunto com a Symantec para resolver o problema e indicou um link para o seu guia de boas práticas de API.

Por conta de um problema similar, o serviço de bookmarking social AddThis também parou de pedir aos seus usuários que revelassem suas chaves API em texto simples como parte do seu código incorporados em sites.

“Uma exposição pública das chaves dá a qualquer um a habilidade de comprometer contas e, nesse caso, criar uma URL encurtada usando domínios de outras pessoas”, escreveu Narang.

Fonte: IDG Now!