Blog

Riscos de Domínios Expirados: Um Exemplo Real do Site da Oracle

Uma referência a um domínio expirado é tudo que um atacante precisa para executar phishing sob uma origem confiável. Este blog analisa um exemplo encontrado no código da Oracle.

Nov 25, 2025 • 5 min read

Juan Combariza Growth Marketer

Expired-domains-breakdown-an-example-from-oracle-website

Na cside, monitoramos continuamente sites em busca de qualquer atividade suspeita para proteger os usuários antes que ataques aconteçam. Recentemente, identificamos um caso interessante envolvendo um site muito conhecido: a Oracle.

Ao revisar um dos arquivos JavaScript públicos da Oracle, percebemos que ele continha uma referência a um domínio que havia expirado.

[https://www.oracle.com/asset/web/js/settings-v2.js](https://www.oracle.com/asset/web/js/settings-v2.js)

Este blog destaca os riscos de domínios esquecidos ou expirados em código client-side. Esse não é um problema antigo ou raro — ele pode acontecer tanto com grandes quanto com pequenas empresas, e pode facilmente abrir caminho para um ataque à cadeia de suprimentos.

Observação: Nossa equipe reportou essa descoberta à Oracle, que a corrigiu rapidamente. O objetivo deste blog é examinar as implicações de segurança sob uma perspectiva defensiva. Não deve ser interpretado como orientação para exploração ou desenvolvimento de novos vetores de ataque.

O Domínio Expirado em Questão

Algumas partes desta seção estão escritas no presente, pois foram extraídas diretamente de conversas com nosso analista de segurança.

O domínio expirado é:

ociforums.com

expired-domain-attack-breakdown-cside — Captura de tela: Identificando um domínio expirado

Acessá-lo agora redireciona para:

https://expireddomains.com/domain/ociforums.com

purchase-expired-domain-attack-example-oracle-cside — Captura de tela: Comprando um domínio expirado

(a captura de tela foi feita no momento da descoberta; o problema já foi corrigido desde então).

Dentro do arquivo JavaScript da Oracle, há uma referência a:

http://ccc.ociforums.com/

expired-domain-vulnerability-detection-cside — Captura de tela: Domínio expirado no código da Oracle (já corrigido)

Esse link aparece no código do site como parte de uma mensagem exibida aos usuários quando nenhum agente de chat ao vivo está disponível. Como o domínio está expirado e à venda, qualquer pessoa poderia comprá-lo e utilizá-lo para fins maliciosos.

Por Que Esse Domínio Expirado Era um Risco de Segurança

Veja o trecho exato do arquivo:

ocFeedback: {
  en: "Sorry, no agents are available... post your question at <a href='http://ccc.ociforums.com/'>http://ccc.ociforums.com/</a>..."
}

Essa mensagem é exibida para usuários que já estão buscando ajuda. Eles têm maior probabilidade de confiar no link como uma página legítima de suporte da Oracle. Se um atacante comprasse o domínio, vários riscos poderiam surgir:

Phishing: O atacante poderia criar um fórum falso com a aparência do suporte da Oracle e enganar usuários para que compartilhassem suas credenciais.
Hospedagem de Malware: O domínio poderia distribuir downloads maliciosos ou executar exploit kits.
Abuso de SEO: Como o domínio pode ainda ter boas posições nos mecanismos de busca, ele poderia aparecer em pesquisas por suporte da Oracle e levar pessoas ao site falso.
Danos à Marca: Se usuários forem enganados, podem responsabilizar a Oracle e perder a confiança na marca.

Risco de Longo Prazo: O link está hardcoded no JavaScript, o que significa que todos os sites que utilizam esse widget precisariam de uma atualização. Se não corrigido rapidamente, a exposição persiste.

Exemplo de Cenário de Ataque

Um usuário tenta obter suporte da Oracle, mas nenhum agente está disponível.
A mensagem orienta o usuário a acessar ccc.ociforums.com.
O domínio agora pertence a um atacante.
O usuário clica e é solicitado a fazer login com suas credenciais da Oracle.
O atacante coleta as credenciais e pode também distribuir malware ou aplicar outros golpes.

O Que a Equipe da cside Fez

Entramos em contato com a Oracle e a informamos sobre o problema do domínio expirado. Eles agiram muito rapidamente para recomprar o domínio e nos deram crédito em seus programas de reporte de segurança. Parabenizamos a Oracle pela resposta ágil.

Essa situação evidencia como a complexidade e a exposição acumulada de um site ao longo do tempo podem se tornar um desafio até mesmo para organizações excepcionalmente bem preparadas para incidentes de segurança. A segurança client-side é um espaço frequentemente negligenciado, e isso infelizmente se aplica a empresas de todos os tamanhos.

O Que Poderia Ter Prevenido um Ataque de Domínio Expirado?

Se considerarmos o cenário em que um atacante tivesse obtido acesso a esse domínio: tanto o CSP quanto o SRI teriam falhado.

CSP e SRI Falhariam:

CSP (Content Security Policy) e SRI (Sub Resource Integrity) são mecanismos de defesa client-side amplamente utilizados. O CSP valida a origem das requisições, não se o destino ainda é seguro. O navegador permitirá a requisição independentemente de quem seja o proprietário atual do domínio. O SRI garante a integridade de arquivos apenas quando o desenvolvedor controla o recurso. Neste caso, a referência era um hiperlink renderizado na interface do usuário, não uma dependência de script externo protegida por hash.

Segurança Client-side Detecta Sinais de um Ataque de Domínio Expirado:

Uma plataforma de segurança client-side como o cside observa continuamente o comportamento dos scripts em tempo de execução. Se um domínio de repente começa a emitir redirecionamentos, coletar teclas digitadas, servir JavaScript inesperado ou retornar padrões de resposta incomuns, a mudança de comportamento se torna um alerta imediato. Um aviso seria disparado para que as equipes de segurança possam investigar.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O cside monitora o comportamento dos scripts no seu site. Se um domínio anteriormente inofensivo começar a servir JavaScript suspeito, redirecionar usuários ou fazer chamadas de rede inesperadas, o cside sinaliza essa mudança de comportamento em tempo real e alerta sua equipe para revisão.

Quando um domínio expira, qualquer pessoa (incluindo atacantes) pode comprá-lo. Se o seu site estiver buscando código desse domínio por meio de um script de terceiros, esse código pode ser alterado e servido aos seus usuários através de um "domínio confiável". Atacantes também podem usar domínios expirados para abuso de SEO ou redirecionamentos de phishing.

Não. O CSP não bloquearia um domínio configurado como fonte "confiável", mesmo que um novo proprietário assuma o controle do domínio.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.