Código HTML do Conteúdo

Post: American Archive of Public Broadcasting corrige bug expondo mídia restrita

<div> <div> <p>Uma vulnerabilidade no site do American Archive of Public Broadcasting permitiu o download de m&iacute;dia protegida e privada por anos, com a falha silenciosamente corrigida este m&ecirc;s.</p> <p>O BleepingComputer foi informado sobre a falha por um pesquisador de seguran&ccedil;a cibern&eacute;tica que pediu para permanecer an&ocirc;nimo, afirmando que a falha foi explorada desde pelo menos 2021, mesmo depois que o pesquisador a relatou anteriormente &agrave; organiza&ccedil;&atilde;o.</p> <p>Depois de entrar em contato com a AAPB sobre a falha, um porta-voz confirmou o problema e o pesquisador validou que a corre&ccedil;&atilde;o foi implementada em 48 horas.</p> <p>&ldquo;Estamos comprometidos em proteger e preservar o material de arquivo na AAPB e fortalecemos a seguran&ccedil;a do arquivo&rdquo;, afirmou a gerente de comunica&ccedil;&otilde;es da AAPB, Emily Balk, ao BleepingComputer.</p> <p>&ldquo;Estamos ansiosos para continuar a tornar a hist&oacute;ria da m&iacute;dia p&uacute;blica gratuita e acess&iacute;vel ao p&uacute;blico.&rdquo;</p> <p>O American Archive, operado pela WGBH Educational Foundation (GBH) e pela Biblioteca do Congresso, &eacute; um arquivo p&uacute;blico sem fins lucrativos cuja miss&atilde;o &eacute; coletar, digitalizar e preservar conte&uacute;do historicamente significativo produzido por r&aacute;dio e televis&atilde;o p&uacute;blicas nos Estados Unidos.</p> <p>O BleepingComputer foi informado de que a vulnerabilidade AAPB circulou pela primeira vez como um boato em discuss&otilde;es online sobre o vazamento do epis&oacute;dio &ldquo;Wicked Witch of the West&rdquo; da Vila S&eacute;samo no canal Discord da Lost Media Wiki.</p> <p>O Lost Media Wiki retirou o epis&oacute;dio, dizendo que &ldquo;provavelmente foi obtido em uma viola&ccedil;&atilde;o ilegal de dados&rdquo;, pedindo aos membros que se abstenham de compartilh&aacute;-lo novamente em seu canal Discord.</p> <p>Inicialmente secreto, o m&eacute;todo de explora&ccedil;&atilde;o come&ccedil;ou a circular em grupos de preserva&ccedil;&atilde;o do Discord em meados de 2024, levando a novos vazamentos de conte&uacute;do protegido em servidores Discord focados na preserva&ccedil;&atilde;o de conte&uacute;do.</p> <p>Conhecidas como acumuladores de dados, essas comunidades se dedicam ao arquivamento de software, sites, sistemas operacionais e v&aacute;rias formas de m&iacute;dia, incluindo programas de TV, m&uacute;sicas e filmes. No entanto, eles geralmente operam em uma &aacute;rea cinzenta, onde o conte&uacute;do protegido por direitos autorais &eacute; preservado e compartilhado, confundindo a linha com a pirataria digital.</p> <p>Mesmo com os esfor&ccedil;os de remo&ccedil;&atilde;o da AAPB, o exploit continuou a circular em v&aacute;rios servidores Discord e aplicativos de mensagens, com uma prova de conceito compartilhada com o BleepingComputer mostrando como era f&aacute;cil abusar.</p> <p>O exploit compartilhado com o BleepingComputer &eacute; um script Tampermonkey simples que explora uma falha insegura de refer&ecirc;ncia direta de objeto (IDOR), permitindo que os usu&aacute;rios solicitem arquivos de m&iacute;dia por ID e ignorem os controles de acesso do AAPB.</p> <p>O bug permitiu que os usu&aacute;rios alterassem o par&acirc;metro de ID de m&iacute;dia em solicita&ccedil;&otilde;es de acesso &agrave; m&iacute;dia, permitindo que eles acessassem recursos pelo ID, mesmo que fossem protegidos ou privados.</p> <p>Embora as p&aacute;ginas principais /media/{ID} tivessem alguns controles de acesso, os invasores podiam ignor&aacute;-los adulterando as chamadas fetch ou XMLHttpRequest feitas em segundo plano.</p> <p>Em vez de o servidor da AAPB rejeitar essas solicita&ccedil;&otilde;es com um erro &lsquo;403 Forbidden&rsquo;, desde que a solicita&ccedil;&atilde;o tivesse um ID de m&iacute;dia v&aacute;lido, o conte&uacute;do foi veiculado.</p> <p>Embora a vulnerabilidade tenha sido corrigida, n&atilde;o se sabe quanto conte&uacute;do foi acessado e compartilhado na comunidade de acumuladores de dados.</p> <p>O vazamento de conte&uacute;do no American Archive seguiu outro incidente no in&iacute;cio deste ano, onde <a href="https://www.bleepingcomputer.com/news/security/pbs-confirms-data-breach-after-employee-info-leaked-on-discord-servers/" rel="nofollow noopener" target="_blank">As informa&ccedil;&otilde;es de contato dos funcion&aacute;rios da PBS vazaram</a> e se espalhou pelos servidores Discord para os f&atilde;s de &lsquo;PBS Kids&rsquo;.</p> <p>Ambos os incidentes ilustram como as comunidades de arquivos e f&atilde;s podem obter acesso a dados confidenciais ou privados, mesmo quando n&atilde;o s&atilde;o usados para fins maliciosos.</p> <p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br /> <img decoding="async" alt="Relat&oacute;rio Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br /> </a> </p> </div></div>