Español | English
rss facebook linkedin Twitter

All your emails belong to me

Hace tiempo comentábamos uno de los problemas de utilizar cuentas de correo tipo webmail. Pues bien, 4 meses después, se ha descubierto una vulnerabilidad que afecta a la mayor parte de los webmails de ISPs europeos con el problema que comentamos.

Más de 40 millones de cuentas de correo pudieron verse comprometidas por esta vulnerabilidad ya corregida.

El peligro de esta vulnerabilidad era crítico debido a tres factores:
  • facilidad de llevarlo a cabo
  • la víctima en ningún momento era consciente de que sus correos estaban siendo redirigidos
  • la gran difusión y uso de webmails
El atacante sólo necesitaba enviar un correo a su víctima con una petición HTTP especialmente modificada y tan pronto como la víctima abría el correo (sin ningúna otra acción) la característica de reenvío se configuraba automáticamente con el destino elegido.

Esta vulnerabilidad estaba basada en los tan conocidos e infravalorados ataques XSS y CSRF. (versión en castellano)

Video demostrativo.

Emilio Casbas
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login