Flickr, la web gigante para compartir fotos, permite enviar fotos desde el correo electrónico, para que puedas cómodamente subir tus fotos desde la cámara de tu móvil o desde tu programa de correo electrónico.
Pero antes que Yahoo, el propietario de Flickr, remediara el problema, un estudiante de instituto estaba probando la seguridad de esta función cuando descubrió que un atacante podía fácilmente inundar con cualquier tipo de contenido, ya fuera, pornográfico, spam, troll o el que quisiera una cuenta de Flickr.
El descubrimiento lo realizó Jazzy, un estudiante de secundaria interesado en la ciberseguridad. En una entrada de su blog dijo que informó inmediatamente a Flickr quien solucionó el problema y le dio 4.000$ de recompensa.
Jazzy había estado jugueteando con Flickr durante 30 minutos cuando detectó la función que permite enviar fotos desde tu dirección de correo electrónico a tu cuenta de Flickr simplemente enviando un correo a una dirección específica.
La pregunta que se hizo era sencilla ¿qué ocurriría si un atacante fuese capaz de obtener esas direcciones? La respuesta es que podría subir fotos sin necesidad de conocer las contraseñas de uteunticación.
El problema era encontrar una forma de adivinar la dirección de correo electrónico a la que enviar las fotos. Para eso encontró un botón que le permitía cambiarla, y comprobó que esa dirección se formaba aleatoriamente por números del 0 al 100 y palabras del diccionario.
Al detectar que estas palabras eran siempre inferiores a seis caracteres, decidió intentar un ataque de fuerza bruta. No esperaba que funcionara, pero después de dejar su ordenador funcionando una noche obtuvo unas 20.000 direcciones de correo y descubrió que solo se utilizaban 935 palabras.
Un atacante podría aprovecharse de esto eficientemente. Se podría generar los 87,5 millones de direcciones y crear un script que enviara correos masivos a esas direcciones ya que Flickr no comprueba de donde provienen esos correos. Incluso se podría enviar un correo a varias direcciones de Flickr usando los campos CC/BCC.
Jazzy informó del problema en cuanto en lo verificó. Yahoo, afortunadamente, lo marcó como P1 (crítico, que necesita una solución inmediata) y lo enmendaron con rapidez. Gracias Jazzy por impedir que las cuentas de Flickr se inundaran de basura.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario