Diseño Web, Registro de dominio y Hospedaje Web

jueves, 8 de agosto de 2013

Prodigy: vulnerabilidad en los servidores de correo

En días recientes, El Economista me solicitó ayuda para investigar y analizar uno o varios agujeros de seguridad encontrados en los sistemas de correo electrónico de Prodigy, propiedad de Telmex, que involucran un error en la aplicación y una desconfiguración del servidor en el dominio webmail2.prodigy.net.mx.

Los errores se deben a unos scripts (programación de tareas informáticas) con una autenticación inadecuada. Una vez que el usuario de correo de prodigy.net.mx iniciaba sesión en su cuenta, cualquier persona podía ingresar a ella a través de la URL (la localización web del contenido) y tener acceso completo a la bandeja de correo electrónico, a los mensajes enviados y entregados y a la capacidad de enviar correos en nombre de esa persona.

El error también abría la posibilidad de restablecer las contraseñas para redes sociales, servicios financieros en línea y otras cuentas que utilizan el correo electrónico como medio para el restablecimiento de contraseñas.

Algunas URL fueron indexadas por Google, el motor de búsqueda en línea más popular en México. No sólo las cuentas fueron comprometidas fácilmente; también el contenido de los correos, pues las direcciones URL proporcionan acceso directo a los correos y son rastreables desde Google.


Cuando me involucré en la investigación, había más de 3,000 páginas con información de cuentas de correo electrónico indexadas en Google. Como se desconoce con certeza cuánto tiempo duró la exposición, no hay forma de saber si fueron todas las cuentas y correos electrónicos comprometidos.

Informé a Google sobre la indexación de información sensible, en coincidencia con la notificación que hizo El Economista al equipo de prensa de Telmex. La información fue retirada del índice de Google entre el 30 y el 31 de julio.

Desde mi punto de vista, aunque las cuentas ya no son accesibles directamente desde la web, el inicio de sesión desde soportes móviles (webmail y el portal de e-mail móvil) sigue siendo inseguro y el protocolo de seguridad SSL (Secure Sockets Layer) ya ni siquiera es una opción para el portal de inicio de sesión en las versiones web y móvil (WAP) de Prodigy.

Además de las cuentas en prodigy.net.mx, otras que utilizan el mismo servidor también pudieron ser afectadas:

prodigymovil.com
prodigymedia.com
infinitummail.com
correoinfinitum.com
prodigywifi.com.mx
correoprodigy.com
infinitumzone.net
nombre.mitmx.net

Cualquiera que acceda a una de estas cuentas desde un punto de acceso Wi-Fi público puede sufrir la intercepción de sus credenciales. A aquellos clientes que están utilizando estas direcciones de correo electrónico, les recomiendo dejar de usarlas por completo, ya que no son seguras. Por lo menos deberán cambiar sus contraseñas y no tener acceso a esas cuentas de correo electrónico a través de cualquier red Wi-Fi abierta o sin garantías de seguridad.

* Ken Westin es fundador de GadgetTrak, especialista en seguridad informática e investigador para Tripwire Security.


No hay comentarios: