Descubren como robar una cuenta Gmail a partir del proceso de verificación de usuarios

Juan Luis Arboledas

2 minutos

Gmail

Si una gran empresa como es el caso de Google quiere seguir siendo vista por todos los usuarios que a diario utilizan sus servicios y confían en ella toda su privacidad y documentación como una de las empresas más seguras del mundo deben verificar que verdaderamente la seguridad en los mismos está garantizada. Una de las formas que tiene Google de verificar que sus sistemas son seguros es mediante el programa de recompensas mediante el cual se invita a cualquier persona a encontrar un agujero de seguridad. Dependiendo de la gravedad del mismo la persona que lo descubra puede llegar a ganar hasta 20.000 dólares.

Gracias precisamente a programas como este hay muchos usuarios especializados en seguridad que prácticamente a diario trabajan para encontrar cualquier tipo de problema, reportarlo y así, por un lado Google los repara prácticamente de inmediato y ellos mismos pueden ganar algo de dinero haciendo lo que más les gusta. En esta ocasión tengo que hablarte de Ahmed Mehtab, CEO de Security Fuss e investigador pakistaní que acaba de encontrar un problema de seguridad bastante grande en el proceso de verificación de Gmail.

Ahmed Mehtab desvela el proceso necesario para robar una cuenta de Gmail.

Tal y como se ha comentado, sin necesidad de grandes conocimientos en informática y seguridad, cualquier usuario podría tomar el control de una cuenta en concreto mediante el uso de un sencillo procedimiento. en primer lugar, para que esta acción pueda llevarse a cabo, el destinatario SMTP no puede estar conectado, que la cuenta haya sido desactivada, que el destinatario haya bloqueado previamente al remitente o que no exista el ID donde enviar el mensaje de confirmación.

Si se cumple una de estas cuatro condiciones, el usuario que quiere robar la cuenta podrá confirmar la propiedad del correo enviando un email a Google. De forma completamente automática el buscador envía una respuesta a dicha dirección para su confirmación, debido a que la dirección es incapaz de recibir el corre de confirmación se devuelve un mensaje al original con un código para recuperar la cuenta. De esta forma el atacante puede hacerse con el control de dicha cuenta.

Más información: Techworm


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.