Debilidad en sitio de Mercado Libre solucionada
En las últimas horas hemos denunciado el caso de la debilidad en el sitio de Mercado Libre. En el caso analizado se presentaba un correo al usuario, en donde, la parte de la URL que ha sido tapada contiene una redirección a un sitio que descargaba un malware:
Desde Segu-Info hemos podido constatar que la vulnerabilidad existía en el sitio web de Mercado Libre en cualquier idioma (BR en la imágen). En este caso el archivo descargado correspondía a un conocido troyano del tipo Downloader.
La vulnerabilidad se encontraba en la forma que era manipulado el parametro "go" recibidos en el script "ml.track.me", ya que era posible redirigir al usuario a un sitio malicioso a través del mismo, permitiendo ataques de phishing, descarga de malware o cualquier otro que fuera realizado a través de la redirección maliciosa.
Este tipo de ataque extremadamente sencillo demuestra lo común que es cometer un error (u omisión) en la limpieza de variables de entrada, sobre todo los parámetros recibidos por sitios web.
Un ejemplo sencillo es el siguiente, en donde se redirigía al usuario a Google:
http://www.mercadolibre.com.ar/jm/ml.track.me?k1=FOOT&k2=EBAY&go=http://www.google.com/
En el caso del malware detectado, el usuario descargaba un archivo ejecutable y podía pensar que lo estaba haciendo desde el sitio de Mercado Libre, cuando en realidad lo hacía desde el sitio al cual había sido redireccionado sin saberlo.
Si bien la respuesta inicial a través de los canales de denuncia clásicos de Mercado Libre fue erronea, luego de establecido el contacto con el personal de la empresa, la respuesta fue excelente, así como el tiempo que se han tomado en la solución. Esto significa que debería reveer su canal de denuncia actual, ya que el usuario promedio dificilmente acceda a contactos de la empresa, en caso de querer realizar algún tipo de denuncia.
Desde Segu-Info también agradecemos a la empresa por su correo de agradecimiento.
Cristian de la Redaccción de Segu-Info
Desde Segu-Info hemos podido constatar que la vulnerabilidad existía en el sitio web de Mercado Libre en cualquier idioma (BR en la imágen). En este caso el archivo descargado correspondía a un conocido troyano del tipo Downloader.La vulnerabilidad se encontraba en la forma que era manipulado el parametro "go" recibidos en el script "ml.track.me", ya que era posible redirigir al usuario a un sitio malicioso a través del mismo, permitiendo ataques de phishing, descarga de malware o cualquier otro que fuera realizado a través de la redirección maliciosa.
Este tipo de ataque extremadamente sencillo demuestra lo común que es cometer un error (u omisión) en la limpieza de variables de entrada, sobre todo los parámetros recibidos por sitios web.
Un ejemplo sencillo es el siguiente, en donde se redirigía al usuario a Google:
http://www.mercadolibre.com.
En el caso del malware detectado, el usuario descargaba un archivo ejecutable y podía pensar que lo estaba haciendo desde el sitio de Mercado Libre, cuando en realidad lo hacía desde el sitio al cual había sido redireccionado sin saberlo.
Si bien la respuesta inicial a través de los canales de denuncia clásicos de Mercado Libre fue erronea, luego de establecido el contacto con el personal de la empresa, la respuesta fue excelente, así como el tiempo que se han tomado en la solución. Esto significa que debería reveer su canal de denuncia actual, ya que el usuario promedio dificilmente acceda a contactos de la empresa, en caso de querer realizar algún tipo de denuncia.
Desde Segu-Info también agradecemos a la empresa por su correo de agradecimiento.
Cristian de la Redaccción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Recomiendo que lean esto, todos aquellos que compran o venden, e incluso piensan en hacer transacciones en MercadoLibre.
Fui víctima de fraude por parte de MercdoLibre. Alguien irrumpió en mi cuenta y transfirió mis fondos (50,000 MXN Pesos) a su cuenta bancaria personal. La compañía no hizo absolutamente NADA!. Tardé semanas antes de poder hablar con alguien por teléfono. Por favor, checa mi blog para la historia comleta.
Mi historia habla de la falta de protocolos de seguridad de MercadoLibre y sobre el servicio al cliente que ofrece; además de la indiferencia de la compañía en ayudar a sus clientes.
Tyler
http://seguridadenmercadolibre.blogspot.com/
Twitter: http://twitter.com/MercadoLibreNO
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!