16:51 19/06/03
ADVIERTEN DEL PELIGRO DE NO BORRAR LAS CUENTAS INACTIVAS
Mercè Molist
La revista "AuctionBytes" ha descubierto un nuevo y curioso riesgo de seguridad: la empresa A tiene un dominio, cierra y éste expira. La persona B lo compra y recibe el correo basura y mensajes dirigidos a usuarios del antiguo dominio. Recolecta sus direcciones electrónicas. Va a un sitio como el servicio de subastas eBay. Introduce las direcciones, dice que ha olvidado las contraseñas y pide que se las envíen. Cuando las recibe, puede acceder a las cuentas y datos personales, incluida información financiera, como usuario legítimo.Cuenta "AuctionBytes": "Recientemente, compramos un nombre de dominio que su propietario original dejó expirar. Después de reactivarlo y poner en marcha el correo, empezamos a recibir cientos de mensajes basura dirigidos a empleados del sitio anterior, unas 20 direcciones en total. Introdujimos algunas en el servicio "Buscar por vendedor" de eBay y así tuvimos sus nombres de identificación en este sitio. Eran empleados que no se habían molestado en cambiar la dirección de correo de contacto, después de que la compañía cerrase".
Aunque la revista afirma no haber intentado explotar la vulnerabilidad, reconoce que "es evidente que habría sido fácil ganar acceso a estas cuentas, usando el servicio "Mándenme una nueva contraseña", ya que éramos ahora los propietarios del dominio donde se enviarían los mensajes. Con la nueva contraseña, podríamos tener acceso a todas las áreas de la cuenta secuestrada. ¿Cuán simple es hacer eso? Se puede comprar un dominio expirado por menos de diez dólares y montar un servidor que coja todo el correo que se envíe a este dominio. Podríamos haber accedido rápidamente a media docena de cuentas de eBay, que no tenían movimientos desde julio del 2000".
La revista ha avisado del problema a eBay, pero al cierre de esta edición la compañía no ha respondido y siguen activos los servicios comprometidos. Según Chris Hoofnagle, del Electronic Privacy Information Center, eBay debería tener la política de cancelar las cuentas, después de determinado tiempo de inactividad. "AuctionBytes" explica que, aunque eBay afirma tener más de 60 millones de usuarios registrados, sólo 30 millones son cuentas activas.
El consultor de seguridad Richard Smith, entrevistado por la revista, ve el fallo descubierto como una muestra más de que "toda la idea en torno a la recuperación de contraseñas está plagada de problemas". Según el consultor, lo mismo podría hacerse con cuentas de Hotmail o Yahoo!, que tienen un nombre de identificación conectado con la dirección de correo. La moraleja de la cuestión para las víctimas, según los expertos, es que los cambios o abandonos de dominios deben planearse con escrupulosidad, sin dejar cabos sueltos.
Expired Domains Expose EBay Security Glitch
http://www.auctionbytes.com/cab/abn/y03/m05/i15/s01