Uma vulnerabilidade no site do American Archive of Public Broadcasting (AAPB) permitiu o download de mídias protegidas e privadas por anos, sendo corrigida discretamente somente neste mês.
A BleepingComputer foi alertada sobre essa falha por um pesquisador de cibersegurança que preferiu permanecer anônimo.
Segundo ele, o exploit estava sendo explorado desde pelo menos 2021, mesmo após ter sido reportado anteriormente à organização.
Após o contato, um porta-voz do AAPB confirmou a existência da vulnerabilidade.
O pesquisador confirmou que o patch foi implementado em até 48 horas após a notificação.
“Estamos comprometidos em proteger e preservar o material arquivado no AAPB e reforçamos a segurança do nosso acervo”, disse Emily Balk, gerente de comunicação do AAPB, em entrevista à BleepingComputer.
“Queremos continuar tornando a história da mídia pública gratuita e acessível a todos.”
O American Archive, operado pela WGBH Educational Foundation (GBH) e pela Biblioteca do Congresso dos EUA, é um arquivo público sem fins lucrativos que tem como missão coletar, digitalizar e preservar conteúdos historicamente relevantes produzidos por emissoras públicas de rádio e televisão dos Estados Unidos.
De acordo com a reportagem, a vulnerabilidade do AAPB começou a ganhar atenção em discussões online no canal Lost Media Wiki do Discord, relacionadas ao vazamento do episódio “Wicked Witch of the West” do programa Sesame Street.
O Lost Media Wiki removeu o episódio, afirmando que ele teria sido “possivelmente obtido por meio de um data breach ilegal”, e pediu aos membros que evitassem compartilhar o arquivo nos canais da comunidade.
Embora inicialmente o método do exploit fosse mantido em segredo, ele começou a se disseminar entre grupos de preservação no Discord a partir de meados de 2024, resultando em mais vazamentos de conteúdo protegido em servidores dedicados ao arquivamento.
Comunidades conhecidas como data hoarders se dedicam a arquivar softwares, sites, sistemas operacionais e diversos tipos de mídia, como programas de TV, música e filmes.
No entanto, muitas vezes operam em uma zona cinzenta, preservando e compartilhando conteúdo protegido por direitos autorais, o que pode se aproximar da digital piracy.
Mesmo com as tentativas do AAPB de remover os materiais, o exploit seguiu circulando em vários servidores do Discord e aplicativos de mensagens.
Um proof-of-concept (PoC) fornecido à BleepingComputer demonstrou a facilidade de exploração.
O exploit é um script simples para Tampermonkey que aproveita uma falha de IDOR (Insecure Direct Object Reference).
Ele permite que usuários solicitem arquivos de mídia diretamente pelo ID, burlando os controles de acesso do AAPB.
A vulnerabilidade permitia alterar o parâmetro do ID da mídia nas requisições, garantindo acesso a arquivos protegidos ou privados simplesmente mudando esse valor.
Embora as páginas principais do tipo /media/{ID} possuíssem controles de acesso, o ataque conseguia contorná-los manipulando chamadas fetch ou XMLHttpRequest feitas em segundo plano.
Ao invés do servidor do AAPB retornar um erro 403 Forbidden, qualquer requisição com um ID válido recebia o conteúdo solicitado.
Apesar da falha já ter sido corrigida, ainda não se sabe a extensão do conteúdo acessado e compartilhado dentro da comunidade data hoarder.
Esse vazamento no American Archive acontece após outro incidente ocorrido no início deste ano, quando informações de contato de funcionários da PBS foram expostas e disseminadas em servidores do Discord dedicados a fãs do “PBS Kids”.
Ambos os casos mostram como comunidades de arquivo e fãs podem ter acesso a dados sensíveis ou privados, mesmo sem intenção maliciosa.
Esse cenário reforça a importância de reforçar a segurança e a gestão do acesso em plataformas de conteúdo público.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...