[HACK] Advierten del peligro de no borrar las cuentas inactivas

merce at grn.es merce at grn.es
Thu Jun 26 12:57:56 CEST 2003 

16:51 19/06/03


ADVIERTEN DEL PELIGRO DE NO BORRAR LAS CUENTAS INACTIVAS


Mercè Molist
La  revista "AuctionBytes" ha descubierto un nuevo y curioso riesgo de
seguridad:  la  empresa  A  tiene un dominio, cierra y éste expira. La
persona  B  lo compra y recibe el correo basura y mensajes dirigidos a
usuarios  del antiguo dominio. Recolecta sus direcciones electrónicas.
Va  a  un  sitio  como  el  servicio  de  subastas eBay. Introduce las
direcciones,  dice  que  ha olvidado las contraseñas y pide que se las
envíen.  Cuando  las  recibe,  puede  acceder  a  las  cuentas y datos
personales, incluida información financiera, como usuario legítimo.

Cuenta  "AuctionBytes": "Recientemente, compramos un nombre de dominio
que  su  propietario  original  dejó expirar. Después de reactivarlo y
poner  en  marcha  el  correo, empezamos a recibir cientos de mensajes
basura  dirigidos  a empleados del sitio anterior, unas 20 direcciones
en total. Introdujimos algunas en el servicio "Buscar por vendedor" de
eBay  y  así tuvimos sus nombres de identificación en este sitio. Eran
empleados que no se habían molestado en cambiar la dirección de correo
de contacto, después de que la compañía cerrase".

Aunque   la   revista   afirma   no   haber   intentado   explotar  la
vulnerabilidad,  reconoce que "es evidente que habría sido fácil ganar
acceso  a  estas  cuentas,  usando  el  servicio  "Mándenme  una nueva
contraseña", ya que éramos ahora los propietarios del dominio donde se
enviarían  los  mensajes.  Con  la  nueva  contraseña, podríamos tener
acceso  a  todas  las  áreas de la cuenta secuestrada. ¿Cuán simple es
hacer  eso?  Se  puede  comprar  un dominio expirado por menos de diez
dólares  y  montar  un servidor que coja todo el correo que se envíe a
este  dominio.  Podríamos haber accedido rápidamente a media docena de
cuentas de eBay, que no tenían movimientos desde julio del 2000".

La  revista  ha  avisado  del  problema a eBay, pero al cierre de esta
edición  la  compañía  no ha respondido y siguen activos los servicios
comprometidos.   Según   Chris   Hoofnagle,   del  Electronic  Privacy
Information  Center,  eBay  debería  tener la política de cancelar las
cuentas,  después de determinado tiempo de inactividad. "AuctionBytes"
explica  que,  aunque eBay afirma tener más de 60 millones de usuarios
registrados, sólo 30 millones son cuentas activas.

El  consultor de seguridad Richard Smith, entrevistado por la revista,
ve  el  fallo descubierto como una muestra más de que "toda la idea en
torno  a  la  recuperación  de contraseñas está plagada de problemas".
Según  el  consultor, lo mismo podría hacerse con cuentas de Hotmail o
Yahoo!,  que  tienen  un  nombre  de  identificación  conectado con la
dirección  de  correo.  La  moraleja de la cuestión para las víctimas,
según  los  expertos, es que los cambios o abandonos de dominios deben
planearse con escrupulosidad, sin dejar cabos sueltos.


Expired Domains Expose EBay Security Glitch
http://www.auctionbytes.com/cab/abn/y03/m05/i15/s01

More information about the hacking mailing list