A gigante de tecnologia Toshiba e a varejista Muji alertaram visitantes de seus sites que telas de login suspeitas exibidas nas páginas poderiam coletar credenciais.
As duas empresas japonesas orientaram os usuários que inseriram dados de acesso nessas telas de autenticação a trocar suas senhas para continuar usando os serviços.
Os pop-ups de login foram gerados pelo serviço externo hospedado em polyfill[.]io, que em 2024 introduziu código malicioso em scripts distribuídos por sua CDN.
“Confirmamos que algumas partes do nosso site podem exibir uma tela de login como a mostrada abaixo.
No momento, estamos trabalhando para eliminar essa tela, mas, se você a vir, selecione ‘Cancelar’ sem inserir nenhuma informação”, informou a Toshiba em uma breve comunicação.
A gigante japonesa do varejo Muji publicou um aviso semelhante no início desta semana, alertando os visitantes do site sobre telas de autenticação suspeitas geradas pelo serviço externo polyfill[.]io.
“Neste momento, não confirmamos nenhum acesso não autorizado nem vazamento de informações neste site, mas, para garantir a segurança de nossos clientes, pedimos que você considere sua resposta”, afirmou a Muji.
Tanto a Toshiba quanto a Muji resolveram o problema e suspenderam o serviço.
Veículos da imprensa japonesa também relataram que Zojirushi, FiNC Technologies, Ishiyaku Publishers e a editora on-line Hobonichi foram afetadas pelo mesmo problema.
Segundo o pesquisador de segurança Pasquale Pillitteri, TVs inteligentes da Samsung e sites também exibiram uma solicitação de login em 1º de junho.
Alguns relatos atribuem a falha ao incidente envolvendo o polyfill[.]io em 2024, quando o domínio foi comprado por uma entidade chinesa e passou a distribuir scripts maliciosos que afetaram mais de 100.000 sites que utilizavam o serviço Polyfill.
O Polyfill é uma CDN de JavaScript voltada para navegadores antigos, permitindo que sites modernos funcionem neles ao oferecer uma camada de compatibilidade para tecnologias não suportadas.
O código do Polyfill era distribuído por meio da CDN em polyfill[.]io, embora o domínio não pertencesse ao criador do projeto open source, Andrew Betts.
Por isso, quando o domínio expirou, qualquer pessoa poderia reivindicá-lo.
Na época, Betts recomendou publicamente que os administradores de sites removessem o serviço de suas páginas.
Ele também relançou a CDN de JavaScript em um novo domínio, polyfill.com, e mais tarde passou a usá-la em polyfill.top.
Embora a desativação do serviço em polyfill[.]io tenha interrompido os redirecionamentos, alguns sites que usavam a solução deixaram de limpar todas as suas páginas ao longo dos últimos dois anos, o que fez com que trechos do código do Polyfill permanecessem.
Pillitteri informa que, a partir do fim de maio de 2026, o domínio polyfill[.]io voltou a ficar ativo e passou a responder com solicitações de autenticação HTTP 401.
Nos navegadores dos usuários que acessavam páginas como as da Toshiba e da Muji, isso é interpretado como um pedido de nome de usuário e senha, o que faz o sistema exibir uma janela de login.
Até o momento, não há indícios de que os sites afetados tenham sido invadidos ou de que as credenciais inseridas nessas telas falsas tenham sido roubadas.
Ainda assim, a recomendação é que os usuários redobrem a cautela diante de solicitações inesperadas de autenticação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...