All your emails belong to me (Todos tus correos me pertenecen)

Posted on by

Hace tiempo comentábamos uno de los problemas de utilizar cuentas de correo tipo webmail. Pues bien, 4 meses después, se ha descubierto una vulnerabilidad que afecta a la mayor parte de los webmails de ISPs europeos con el problema que comentamos.

Más de 40 millones de cuentas de correo pudieron verse comprometidas por esta vulnerabilidad ya corregida.

El peligro de esta vulnerabilidad era crítico debido a tres factores:

  • facilidad de llevarlo a cabo
  • la víctima en ningún momento era consciente de que sus correos estaban siendo redirigidos
  • la gran difusión y uso de webmails

El atacante sólo necesitaba enviar un correo a su víctima con una petición HTTP especialmente modificada y tan pronto como la víctima abría el correo (sin ningúna otra acción) la característica de reenvío se configuraba automáticamente con el destino elegido.

Esta vulnerabilidad estaba basada en los tan conocidos e infravalorados ataques XSS y CSRF.(versión en castellano)

Video demostrativo.

Autor: Emilio Casbas
Fuente: S21sec

Read the rest here:
All your emails belong to me (Todos tus correos me pertenecen) |

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>