[HACK] latinmail

merce at grn.es merce at grn.es
Thu Mar 15 16:11:09 CET 2001 

Algo  como  esto  tambien sale hoy en el ciberpais. Semanas despues de
pedirles  su  version,  StarMedia envio el texto que pasteo mas abajo,
justo cuando el articulo ya estaba en maquinas.

M&M

---------------------------------------------------------------------



FALLA LA SEGURIDAD DEL CORREO GRATUITO LATINMAIL


Mercè Molist
El  popular servicio de correo web gratuito, LatinMail, tiene diversos
agujeros  de  seguridad que van desde la posibilidad de controlar todo
el  sistema  hasta  el  robo de contraseñas de los clientes, según han
denunciado varios expertos a la propia empresa. LatinMail es propiedad
de  StarMedia  NetWork,  con  27,4  millones  de usuarios en América y
España  y  unos  ingresos  de  20  millones  de  dólares, en el último
trimestre del 2000.

Fabricio   Mejía,   un  programador  colombiano  afincado  en  Canadá,
descubría,  hace  unas semanas, un ostentoso agujero en LatinMail, que
permite  camuflar  programas  troyanos  en  el correo de los usuarios,
usando  el  código Javascript: "El hacker envía un mensaje electrónico
al  usuario.  Al  ser  leído,  se  ejecuta automáticamente un 'script'
(pequeño programa) que redirige el navegador a otra página, que pese a
lucir  igual  que  la  de  LatinMail  se  encuentra  alojada  en  otro
servidor", explica Mejía.

Así,  el internauta cree estar dando su nombre de usuario y contraseña
al  servicio  de  correo,  cuando  en  realidad los escribe en una web
falsa,  "una  base de datos donde serán almacenados y, posteriormente,
redirigidos  de nuevo hacia LatinMail, sin que el usuario se entere de
lo  que  pasa. Que la página use marcos hace que no se percate, porque
en  la barra de URLs permanece la de LatinMail". A la hora de escribir
estas  líneas,  la  empresa  trabajaba en protegerse del ataque, según
Mejía.  A  nivel de usuario, lo mejor para evitar sustos es desactivar
Javascript en el navegador personal.

Ya en enero, el grupo 'hacker' SET avisaba que "StarMedia parece vivir
en un mundo de ilusión donde no existen 'crackers'. Cualquiera, con la
suficiente  falta  de escrúpulos, podría llegar a conseguir el control
del  sistema". Según SET, un intruso en LatinMail podría leer y añadir
ficheros, acceder a carpetas compartidas, extraer listas de usuarios o
ejecutar comandos. "Lo que refuerza la creencia de que los sistemas de
correo  vía  web  deben  ser  usados  para fines triviales o junto con
métodos de encriptación", afirman.


LatinMail. http://www.latinmail.com
SET. http://www.set-ezine.org/



-----------------------------------------------------------------------


    Muy estimados señores:

        En relación al artículo "Falla la
seguridad del correo gratuito
LatinMail" el cual tenemos conocimiento
que publicará en Ciberpaís esta
semana, permítanme tomarme un minuto para
hacer ciertas aclaraciones que
consideramos pertinentes. 

        Una de las afirmaciones hechas
por Merce Molist  en el artículo
señala que LatinMail  "tiene diversos
agujeros de seguridad que van desde la
posibilidad de controlar todo el sistema
hasta el robo de contraseñas de los
clientes". Dicha afirmación no
corresponde con la realidad actual, y tiene
su origen en informaciones recogidas en
otros medios hace más de un mes, y a
las cuales LatinMail dió cumplida
respuesta en su momento. 

        En cuanto a la posibilidad de
"revelar logins y passwords de los
usuarios", debe ser de su conocimiento
que cada día surgen nuevos métodos
para intentar violar los sitemas de
seguridad adoptados por compañías de
Internet.  LatinMail ha sido capaz de
alcanzar una masa de usuarios
importante.  En este sentido, al igual
que otras grandes compañías de
Internet que ofrecen sistemas de correo
gratuito, LatinMail trabaja
constantemente para elevar sus niveles de
seguridad y evitar esta potencial
amenaza, y al día de hoy no es posible
realizar ninguna de las operaciones
descritas en el artículo en nuestros
sistemas de correo, dado a que se han
tomado,  y permanenetemente se toman, las
medidas necesarias para proteger
la privacidad de nuestros usuarios. 

        Entendemos que reportar este tipo
de acciones podría ser de interés
periodístico.  No obstante, consideramos
que hacer alusión a incidentes
ocurridos en el pasado, identificados y
oportunamente corregidos, deberán
ser contextualizados de manera correcta.
LatinMail es uno de los mayores
sistemas de email gratuito en español, y
como tal, podría ser un blanco
natural para aquellas personas que
lastimosamente se dedican a buscar formas
de vulnerar los sistemas de seguridad de
las grandes compañías de Internet
que han alcanzado una masa crítica de
usuarios significativa. 

        Evitar posibles usos indebidos de
información confidencial
concerniente a nuestros usuarios es un
compromiso permanente del equipo de
LatinMail. Por tal motivo, creemos que el
tono y los tiempos verbales
empleados en la redacción del artículo en
cuestión no corresponden con la
situación actual del sistema de seguridad
de LatinMail y pueden causar una
alarma injustificada entre nuestros
usuarios.

        Consideramos que el punto es
suficientemente válido para dirigirnos
a Uds. y explorar la posibilidad de
evitar la publicación de un artículo
como éste.  En caso de que ello no sea
posible por razones asociadas a los
tiempos de impresión o similares de 
Ciberpais, me gustaría saber si la
oportunidad de aclarar esta situación en
el marco de un artículo diferente
es factible.

Cordialmente, y agradeciendo
anticipadamente su atención,

      Mariana Cavin

Mariana Cavin
VP Corporate Communications, Global
StarMedia Network, Inc.
(212) 905-8267
mariana.cavin at starmedia.net

More information about the hacking mailing list