Expertos alertan sobre el peligro de no borrar cuentas inactivas en Internet
La revista AuctionBytes ha descubierto un nuevo y curioso riesgo de seguridad: la empresa A tiene un dominio, cierra y éste expira. La persona B lo compra y recibe el correo basura y mensajes dirigidos a usuarios del antiguo dominio.
Recolecta sus direcciones electrónicas. Va a un sitio como un servicio de subastas. Introduce las direcciones, dice que ha olvidado las contraseñas y pide que se las envíen. Cuando las recibe, puede acceder a las cuentas y datos personales, incluida información financiera, como usuario legítimo.
Cuenta AuctionBytes: "Recientemente, comp...
La revista AuctionBytes ha descubierto un nuevo y curioso riesgo de seguridad: la empresa A tiene un dominio, cierra y éste expira. La persona B lo compra y recibe el correo basura y mensajes dirigidos a usuarios del antiguo dominio.
Recolecta sus direcciones electrónicas. Va a un sitio como un servicio de subastas. Introduce las direcciones, dice que ha olvidado las contraseñas y pide que se las envíen. Cuando las recibe, puede acceder a las cuentas y datos personales, incluida información financiera, como usuario legítimo.
Cuenta AuctionBytes: "Recientemente, compramos un nombre de dominio que su propietario original dejó expirar. Después de reactivarlo y poner en marcha el correo, empezamos a recibir cientos de mensajes basura dirigidos a empleados del sitio anterior, unas 20 direcciones en total. Introdujimos algunas en el servicio Buscar por vendedor de eBay y así tuvimos sus nombres de identificación en este sitio. Eran empleados que no se habían molestado en cambiar la dirección de correo de contacto, después de que la compañía cerrase".
Alerta
Aunque la revista afirma no haber intentado explotar la vulnerabilidad, reconoce que "es evidente que habría sido fácil ganar acceso a estas cuentas, usando el servicio Mándeme una nueva contraseña, ya que éramos ahora los propietarios del dominio donde se enviarían los mensajes. Con la nueva contraseña, podríamos tener acceso a todas las áreas de la cuenta secuestrada. ¿Cuán simple es hacer eso? Se puede comprar un dominio expirado por menos de 10 dólares y montar un servidor que coja todo el correo que se envíe a este dominio. Podríamos haber accedido rápidamente a media docena de cuentas de eBay, que no tenían movimientos desde julio de 2000".
La revista ha avisado del problema a eBay, pero al cierre de esta edición la compañía no ha respondido y siguen activos los servicios comprometidos. Según Chris Hoofnagle, del Electronic Privacy Information Center, eBay debería tener la política de cancelar las cuentas, después de determinado tiempo de inactividad, lo que disminuiría sus estadísticas de usuarios activos.
El consultor de seguridad Richard Smith, entrevistado por la revista, ve el fallo descubierto como una muestra más de que "toda la idea en torno a la recuperación de contraseñas está plagada de problemas". Según el consultor, lo mismo podría hacerse con cuentas de Hotmail o Yahoo!, que tienen un nombre de identificación conectado con la dirección de correo. La moraleja de la cuestión para las víctimas, según los expertos, es que los cambios o abandonos de dominios deben planearse con escrupulosidad, sin dejar cabos sueltos.