Noticiamos aqui periodicamente ataques de hackers que expõem dados de usuários ou invadem sites para protestar, como no caso da Vale ou do PT, mas dessa vez há um motivo inusitado para a invasão.

Um grupo brasileiro de pesquisadores hackers conseguiu acessar um subdomínio da NASA graças a falhas de Cross Site Scripting (CSS). Conhecidos por pesquisas em vários portais brasileiros e por terem encontrado uma falha grave no site do Banco do Brasil, os hackers resolveram ir além.

No último domingo (10), os pesquisadores da CCESS publicaram em sua rede social o ataque feito ao site pertencente à NASA, transformando-o em um modo jogável. Assim, conseguiram instalar e rodar o icônico jogo Doom nele.

A falha foi descoberta pelo hacker White Hat, conhecido por SUBSOLO, em agosto de 2018. Ao encontrar a brecha, comunicaram imediatamente a agência, que só corrigiu duas das falhas.

SUBSOLO e Leandro Trindade, pesquisadores que encontraram a falha, disseram em entrevisa ao site Mundo Hacker que a NASA chegou a agradecer a eles pela descoberta. De acordo com a fundação OWASP, organização sem fins lucrativos que ajuda organizações a conceber e desenvolver aplicativos confiáveis, a falha de XSS Injection é comumente sub-classificada mas traz risco alto.

Ainda é possível jogar dentro do site, e o link está disponível na página dos pesquisadores da CCESS. Contudo, por conta das regras de proteção do Chrome, o payload só pode ser executado no Firefox. Além do jogo Doom, os pesquisadores também colocaram um payload do game Space Invaders que pode ser jogado pelo Chrome.

O grupo publicou um vídeo mostrando a 'invasão' ao subdomínio da NASA e o site rodando o jogo Doom. Confira: