Leitores de grandes sites como Vice News , CNET , The Verge , Neowin e outros estão expostos a riscos de segurança desde 2015 porque os anúncios executados na plataforma de ^{(platform use)}publicidade PowerLinks^{(PowerLinks advertising)} usam certificados SSL expirados . Veja o que está acontecendo, a que você está se expondo ao ler publicações que incluem anúncios PowerLinks e o que você pode fazer para se manter seguro:

Os anúncios veiculados por PowerLinks possuem certificados SSL que expiraram em outubro de 2015^{(October 2015)}

Ao ler vários sites no meu computador pessoal, notei que minha solução de segurança^{(security solution)} estava reclamando que meu navegador estava tentando se comunicar por um canal criptografado com um certificado não confiável. Meu antivírus não podia garantir a autenticidade do domínio ao qual a conexão criptografada foi estabelecida, e isso representava um risco de segurança^{(security risk)} para mim. Inicialmente, ignorei esse aviso e continuei lendo. No entanto, depois de vê-lo em vários grandes sites, comecei a prestar atenção e estudar as coisas com mais detalhes.

Fiquei surpreso ao descobrir que esse aviso é exibido em grandes publicações on-line e sempre é causado por anúncios veiculados em pw.powerlinks.com. Todos eles possuem um certificado SSL^{(SSL certificate)} que expirou em outubro de 2015^{(October 2015)} , como você pode ver abaixo.

PowerLinks, anúncios, SSL, expirado

Para verificar se isso era verdade e não apenas um alarme falso, tentei outro produto de segurança^{(security product)} de primeira linha e os resultados foram os mesmos. Naveguei em mais sites e notei que o mesmo problema se repetia para alguns grandes nomes do mundo editorial^{(publishing world)} .

O que o PowerLinks oferece aos^{(PowerLinks offer)} editores?

De acordo com seu site oficial, a PowerLinks possui um portfólio abrangente de soluções e serviços de publicidade. Eles oferecem um servidor de anúncios^{(Ad Server)} para os sites em seu portfólio de clientes, uma plataforma Ad Exchange^{(Ad Exchange platform)} , anúncios nativos (in-text, in-video, in-image, in-feed e in-display ads) e muito mais.

Por que isso é um problema? Os problemas aos quais estamos expostos quando websites exibem anúncios com certificados SSL expirados^(SSL)

Se você não tiver uma boa solução de segurança^{(security solution)} instalada, talvez nunca perceba esse problema. No entanto, se você usar um bom antivírus que verifica seu tráfego HTTP^{(HTTP traffic)} em tempo real, será incomodado por um aviso de segurança^{(security prompt)} em várias grandes publicações de mídia que usam serviços de publicidade fornecidos pelo PowerLinks .

Deixando de lado o fator aborrecimento^{(annoyance factor)} , perguntamos a Catalin Patrascu (chefe do Departamento de Segurança e Monitoramento da Informação da ^{(Information Security and Monitoring Department)}Equipe Nacional de Resposta a Incidentes de Segurança de Computadores^{(National Computer Security Incident Response Team)} da Romênia ) sobre os riscos de segurança envolvidos com esses anúncios, e ele declarou o seguinte:

"Teoricamente, a verificação de certificados SSL pode ser feita mesmo que estejam expirados. Para os usuários que se acostumam com esse erro e não verificam o certificado SSL cada vez que recebem o erro, existe o risco de serem redirecionados para páginas e tornando-se alvo de ataques man-in-the-middle"^{("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks")} .

Outra coisa importante a considerar é que esses anúncios também rastreiam os dados e o comportamento do usuário. Esses dados são enviados por meio de um canal inseguro^{(insecure channel)} , deixando-os vulneráveis à interceptação por partes indesejadas.

Os sites afetados por esse problema incluem: The Verge , Vice News , CNET e mais

Não sabemos a lista exata de sites afetados por esse problema. Assumimos que todos os clientes PowerLinks estão em risco. Até agora, identificamos esse problema em grandes publicações de mídia como The Verge , Vice News , CNET , Neowin e outras^{(Neowin and others)} . Esses sites têm dezenas de milhões de leitores por mês, e a segurança de seu público é colocada em risco todos os dias em que veiculam anúncios PowerLinks , desde ^(PowerLinks)outubro de 2015^{(October 2015)} .

Este problema é causado por pura negligência por parte da PowerLink

O que estamos lidando aqui é pura negligência. Esses certificados SSL não expiram há alguns dias ou um mês. Eles expiraram desde 2015 e a PowerLinks não está fazendo seu trabalho de oferecer soluções de publicidade seguras para publicações online e leitores dessas publicações. Sua equipe técnica não percebeu que sua plataforma de publicidade^{(advertising platform)} usa certificados SSL que expiraram há anos e não fizeram nada para resolver esse problema, colocando em risco milhões de leitores. Os criadores de malware^{(Did malware)} exploraram esse problema? Essa é uma boa pergunta, e não temos certeza se o PowerLinks pode responder. No final, eles nem cuidaram do básico, como datas de validade.

Quais produtos de segurança^{(Which security)} me ajudaram a descobrir esse problema?

A primeira vez que encontrei esse problema foi quando estava navegando em alguns dos sites que mencionei anteriormente e usei o ESET Smart Security^{(ESET Smart Security)} como meu antivírus.

PowerLinks, anúncios, SSL, expirado

Esse problema também foi confirmado pelo Kaspersky Total Security , como você pode ver abaixo.

PowerLinks, anúncios, SSL, expirado

Estamos satisfeitos que esses produtos tenham feito seu trabalho em nos informar e nos manter protegidos das vulnerabilidades de segurança da plataforma de anúncios PowerLinks e nos ajudar a desvendar o que está acontecendo. É mais uma prova de que você deve sempre instalar um produto antivírus^{(antivirus product)} de terceiros e parar de navegar na web, sem segurança. Se você está curioso para saber mais sobre os riscos envolvidos em navegar na web desprotegido, leia este experimento que realizamos: Como infectar seu PC com Windows^{(Windows PC)} enquanto navega na web por coisas gratuitas.

O que fizemos para ajudar os leitores e publicações afetados por esse problema de segurança^{(security issue)} ?

Em primeiro^(First) lugar, escrevemos este artigo para informar a todos sobre este assunto. Também pedimos à PowerLinks um comentário oficial. No entanto, o e-mail oficial de contato deles não funciona, e tudo o que recebemos é uma falha de notificação de status^{(Status Notification Failure)} de entrega , que você pode ver abaixo.

PowerLinks, anúncios, SSL, expirado

Enviamos este artigo para todas as publicações de mídia que encontramos afetadas, bem como para PowerLinks , usando seus canais de mídia social. Esperamos que eles não ignorem nossa mensagem e tomem medidas para corrigir esse problema.

UPDATE (03/21/2017): Finalmente conseguimos enviar nossa mensagem para a PowerLinks e recebemos a seguinte resposta de Branden Smythe , VP de Desenvolvimento de Negócios^{(VP Business Development)} :

"Recebi um aviso de que você entrou em contato com a PowerLinks. Abordaremos as preocupações que você postou em breve."^{("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")}

Hoje, verificamos novamente os sites onde encontramos os problemas que descrevemos e agora as coisas estão funcionando bem. Parece que a PowerLinks executou as etapas necessárias para garantir a entrega de anúncios^{(ad delivery)} em todos os sites, o que é ótimo. Espero^(Hopefully) que eles aprendam com esse problema e cuidem melhor dos princípios básicos de segurança, como a data de expiração^{(expiration date)} dos certificados SSL .

O que você pode fazer para se proteger de anúncios PowerLinks inseguros?^(PowerLinks)

Se sua solução de segurança^{(security solution)} estiver reclamando dos certificados SSL expirados usados pelos anúncios ^(SSL)PowerLinks , você deve bloqueá-los. Se você não tiver um antivírus que verifique seu tráfego HTTP^{(HTTP traffic)} em tempo real , você deve executar esses sites usando modos de navegação privada que também bloqueiam os anúncios inseguros ou encontram outra maneira de bloqueá-los. Não somos fãs de bloquear anúncios nos sites que mencionamos porque a publicidade é o que mantém essas publicações capazes de fornecer um ótimo conteúdo a todos. Esperamos que esse problema seja resolvido em breve e todos possamos desfrutar de nossas publicações favoritas, com segurança, sem bloquear sua publicidade e permitir que eles obtenham receita com seu trabalho.

PowerLinks ads put millions of readers at risk, from major publications like The Verge, Vice News and more

Readers of major websites like Vice News, CNET, The Verge, Neowin and more, have been exрoѕed to security risks since 2015 becаuse the adѕ they run from the PowerLinks advertising platfоrm use expired SSL certificates. Here's what is going on, what yоu are exposing yoυrself tо when reading publications that include PowerLіnks ads and what you can do to stay safe:

The ads served through PowerLinks have SSL certificates that expired in October 2015

While reading several websites on my personal computer, I have noticed that my security solution was complaining that my browser is trying to communicate over a channel that is encrypted with an untrusted certificate. My antivirus could not guarantee the authenticity of the domain to which the encrypted connection was established, and this posed a security risk for me. Initially, I ignored this warning and just kept reading. However, after seeing it on several big websites, I started paying attention and studied things in more detail.

I was surprised to find that this warning is shown on large online publications and it is always caused by ads served from pw.powerlinks.com. All of them have an SSL certificate that expired in October 2015, as you can see below.

PowerLinks, ads, SSL, expired

To double check whether this was true and not just a false alarm, I tried another top-notch security product, and the results were the same. I navigated more websites and noticed that the same problem was repeating for some big names in the publishing world.

What does PowerLinks offer publishers?

According to their official website, PowerLinks has a comprehensive portfolio of advertising solutions and services. They offer an Ad Server for the sites in their portfolio of clients, an Ad Exchange platform, native ads (in-text, in-video, in-image, in-feed and in-display ads) and more.

Why is this an issue? The problems we're exposed to when websites display ads with expired SSL certificates

If you don't have a good security solution installed, you might never notice this issue. However, if you use a good antivirus which scans your HTTP traffic in real-time, then you will be annoyed by a security prompt on several large media publications that use advertising services provided by PowerLinks.

Leaving the annoyance factor aside, we asked Catalin Patrascu (head of the Information Security and Monitoring Department at the Romanian National Computer Security Incident Response Team) about the security risks involved with these ads, and he stated the following:

"Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks".

Another important thing to consider is that these ads also track user data and user behavior. This data is sent through an insecure channel, leaving it vulnerable to interception by unwanted parties.

The websites that are affected by this issue include: The Verge, Vice News, CNET, and more

We don't know the exact list of websites that are impacted by this issue. We assume that all PowerLinks customers are at risk. So far, we have identified this problem on large media publications like The Verge, Vice News, CNET, Neowin and others. These websites have dozens of millions of readers each month, and the security of their audience has been put at risk every day they have run PowerLinks ads, since October 2015.

This problem is caused by plain negligence on PowerLink's part

What we are dealing here is plain negligence. These SSL certificates have not been expired for a couple of days or a month. They have been expired since 2015 and PowerLinks are not doing their job of offering secure advertising solutions to both online publications and readers of those publications. Their technical team did not notice that their advertising platform uses SSL certificates that have been expired for years and did nothing to solve this problem while putting millions of readers at risk. Did malware creators exploit this issue? That's a good question, and we're not sure whether PowerLinks can answer. In the end, they did not even take care of basics like expiration dates.

Which security products helped me discover this issue?

The first time I found this problem was when I was navigating some of the websites I mentioned earlier and used ESET Smart Security as my antivirus.

PowerLinks, ads, SSL, expired

This issue was also confirmed by Kaspersky Total Security, as you can see below.

PowerLinks, ads, SSL, expired

We're pleased that these products did their job in informing us and keeping us safe from the security vulnerabilities of the PowerLinks ads platform and helps us unravel what is going on. It's further proof that you should always install a third-party antivirus product and stop browsing the web, unsecured. If you are curious to learn more about the risks involved with browsing the web unprotected, read this experiment that we have run: How to infect your Windows PC while browsing the web for free stuff.

What did we do to help readers and publications that are affected by this security issue?

First of all, we wrote this article to inform everyone on this matter. We also asked PowerLinks for an official comment. However, their official contact e-mail doesn't work, and all we received is a Delivery Status Notification Failure, which you can see below.

PowerLinks, ads, SSL, expired

We sent this article to all the media publications that we've found that are affected, as well as to PowerLinks, using their social media channels. We hope that they won't ignore our message and will take measures to fix this problem.

UPDATE (03/21/2017): We finally managed to get our message sent to PowerLinks, and we received the following answer from Branden Smythe, VP Business Development:

"I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly."

Today, we checked again the websites where we have found the issues that we described and things are now working well. It seems that PowerLinks has performed the necessary steps to secure their ad delivery on all websites, which is great. Hopefully, they will learn from this problem and take better care of security basics like the expiration date of SSL certificates.

What can you do to protect yourself from insecure PowerLinks ads?

If your security solution is complaining about the expired SSL certificates used by PowerLinks ads, you should block them. If you don't have an antivirus which scans your real-time HTTP traffic, then you should run these websites using private browsing modes that also block the insecure ads or find some other way of blocking them. We are not fans of blocking ads on the websites that we have mentioned because advertising is what keeps these publications able to provide everyone with great content. Hopefully, this problem will be solved soon, and we can all enjoy our favorite publications, safely, without blocking their advertising and allowing them to earn revenue from their work.

Ariadna das Dores

About the author

Sou engenheiro de software com mais de 10 anos de experiência na indústria Xbox. Sou especialista em desenvolvimento de jogos e testes de segurança. Também sou um revisor experiente e tenho trabalhado em projetos para alguns dos maiores nomes dos jogos, incluindo Ubisoft, Microsoft e Sony. No meu tempo livre, gosto de jogar videogame e assistir a programas de TV.

Os anúncios PowerLinks colocam milhões de leitores em risco, de grandes publicações como The Verge, Vice News e muito mais

Os anúncios veiculados por PowerLinks possuem certificados SSL que expiraram em outubro de 2015(October 2015)

O que o PowerLinks oferece aos(PowerLinks offer) editores?

Por que isso é um problema? Os problemas aos quais estamos expostos quando websites exibem anúncios com certificados SSL expirados(SSL)

Os sites afetados por esse problema incluem: The Verge , Vice News , CNET e mais

Este problema é causado por pura negligência por parte da PowerLink

Quais produtos de segurança(Which security) me ajudaram a descobrir esse problema?

O que fizemos para ajudar os leitores e publicações afetados por esse problema de segurança(security issue) ?

O que você pode fazer para se proteger de anúncios PowerLinks inseguros?(PowerLinks)

PowerLinks ads put millions of readers at risk, from major publications like The Verge, Vice News and more

The ads served through PowerLinks have SSL certificates that expired in October 2015

What does PowerLinks offer publishers?

Why is this an issue? The problems we're exposed to when websites display ads with expired SSL certificates

The websites that are affected by this issue include: The Verge, Vice News, CNET, and more

This problem is caused by plain negligence on PowerLink's part

Which security products helped me discover this issue?

What did we do to help readers and publications that are affected by this security issue?

What can you do to protect yourself from insecure PowerLinks ads?

Ariadna das Dores

About the author

Related posts

Jamey Heary da Cisco: Organizações que trabalham com informações confidenciais, usam WiFi criptografado, VPN e aplicativos criptografados

Cibersegurança por meio da educação: Kaspersky Interactive Protection Simulation

Prêmios - O produto antivírus mais popular do ano de 2017

O que há de novo na atualização do Windows 10 de novembro de 2019?

Novos recursos chegando ao Windows Defender no Windows 10 Creators Update

13 melhores coisas sobre Windows 10

Prêmios - O antivírus mais inovador de 2017

Análise: As instalações rápidas de aplicativos de desktop arruínam o desempenho do computador!

4 aplicativos que ajudam você a diagnosticar a saúde do seu dispositivo Android

Como começar Windows 10 em Safe Mode com Networking

Prêmios: O melhor produto antivírus do ano de 2018

"Fique na loja do Google Play!" diz renomado especialista em segurança da informação da ESET

Segurança para todos - Como analisamos os produtos de segurança

3 razões pelas quais incluir códigos QR nos BSODs do Windows 10 é uma má ideia

Synology DiskStation Manager 7: Beta disponível, atualização gratuita que vem em 2021

O ReadyBoost funciona? Melhora o desempenho para PCs mais lentos?

Antes de instalar o Windows 10 S, considere estas questões importantes

8 passos para maximizar a segurança do seu roteador ASUS ou ASUS Lyra mesh WiFi

Prêmios - O melhor produto antivírus do ano de 2017

Como infectar seu PC com Windows enquanto navega na web para coisas gratuitas

Os anúncios veiculados por PowerLinks possuem certificados SSL que expiraram em outubro de 2015^{(October 2015)}

O que o PowerLinks oferece aos^{(PowerLinks offer)} editores?

Por que isso é um problema? Os problemas aos quais estamos expostos quando websites exibem anúncios com certificados SSL expirados^(SSL)

Quais produtos de segurança^{(Which security)} me ajudaram a descobrir esse problema?

O que fizemos para ajudar os leitores e publicações afetados por esse problema de segurança^{(security issue)} ?

O que você pode fazer para se proteger de anúncios PowerLinks inseguros?^(PowerLinks)