Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Pinterest cierra hueco que muestra direcciones de correo electrónico de usuarios
Un investigador de seguridad descubrió una vulnerabilidad en Pinterest, red social que ha tenido un crecimiento muy importante. La falla permite que un atacante (que conoce el nombre de usuario o ID Pinterest) descubra la dirección de correo electrónico del usuario. El error es muy fácil de explotar y le da a un atacante una gran lista de objetivos para ataques de phishing.
Dan Melamed, el investigador que descubrió la falla, dijo que el equipo de seguridad de Pinterest respondió rápidamente a su reporte y ya corrigieron la vulnerabilidad. El hueco de seguridad es tan simple como se preveé. Melamed dijo que mediante la sustitución de una cadena corta en un URL Pinterest en específico, con el nombre de un usuario o ID, podría llevarlo a la página que le mostró la dirección de correo electrónico de destino. El truco funciona con cualquier nombre de usuario.
Por lo que un enlace parecido al de abajo mostrará al atacante la dirección de correo electrónico del usuario Pinterest:
hxxps://api.pinterest.com/v3/users/pinterest-access_token=MTQzMTYwMjozNTcxOTE5NTE2MDQyNjcxNzc6MnwxMzc3MDY4ODMyOjAtLTE2ZWJjNDg4NzYxYTFmZWIwZmU0ODcxYzc3ZWUyN2E2YTdhOWNlN2I=
“El enlace anterior mostrará el correo electrónico que pertenece al usuario de Pinterest. Esta falla funciona con cualquiera, ya sea mediante el nombre de usuario o la ID del mismo. Trabaja con cualquier token de acceso”, dijo Melamed en un blog, explicando la vulnerabilidad. “Una solución para este problema es verificar que se trata del propietario del token de acceso al solicitar cierta información”.
Melamed dijo que descubrió una falla similar en StumbleUpon, la cual fue más severa, ya que le permitió tener acceso al nombre completo del usuario, su correo electrónico, edad, género y ubicación. La falla también ha sido corregida.
Lentamente Pinterest ha atraído la atención de los atacantes. En los últimos dos o tres años el sitio ha crecido en popularidad y alcance. El año pasado, el sitio tuvo que apresurarse para bloquear algunas cuentas de usuarios que fueron comprometidas. También, hace unos meses, los estafadores emplearon phishing para atacar a los usuarios.
