São Paulo – O Google, Yahoo e Microsoft corrigiram uma vulnerabilidade grave no mecanismo de assinaturas de seus serviços de e-mail que permitia falsificar mensagens provenientes de seus sistemas.

O problema é que as empresas estariam utilizando chaves curtas com menos de 1.024 bits, na implementação de seus mecanismos de identificação de mensagens, também conhecidos pela sigla DKIM.

Segundo o US-CERT, serviço de certificação dos Estados Unidos, o Google, Yahoo e Microsoft estavam utilizando chaves curtas, mas as empresas já corrigiram o erro após serem notificadas.

A vulnerabilidade foi identificada por um matemático chamado Zachary Harris. Ele recebeu um e-mail que teria sido enviado pelo RH do Google. O campo do endereço do e-mail parecia correto, mas Harris percebeu que uma fraca chave DKIM estava sendo usada.

Segundo o US-CERT, todas as empresas devem substituir as chaves curtas e configurar seus sistemas para não utilizar ou permitir testar o modo em servidores de produção.