Bit.ly soluciona dos fallos graves después de 3 meses
Como uds saben en julio de este año, desde Segu-Info reportamos un error de Bit.ly y otros acortadores de URL que permitíán el uso de subdominios para redireccionar al usuario a enlaces maliciosos (DNS wildcard) y por lo tanto estaban siendo utilizados por phishers y spammers.
El reporte inicialmente se realizó a Bit.ly y posteriormente se solicitó la solución del bug a través de sus foros: Disable DNS wildcard to prevent abuse by phishers.
Luego de un proceso bastante complicado y extenso en donde Bit.ly parecía no entender la gravedad del problema, finalmente aceptaron solucionarlo y el día de hoy hemos recibido el comunicado de dicho proceso, por lo cual las direcciones del tipo http://bank.com.bit.ly/vive-forosi ya no funcionan y no podrán ser utilizadas para engañar usuarios, como pasaba hasta el momento.
Nota: este bug en realidad fue solucionado parcialmente y todavía puede ser explotado de otra forma y ya hemos denunciado el caso a la empresa que lo analicen a la brevedad.
Por otro lado hace un mes reportamos un XSS en el sitio de bit.ly que permitiría el robo de credenciales o la falsificación de sitios para el posterior phishing. Por ejemplo, crear un formulario falso para robar información:
Esta vulnerabilidad ya ha sido solucionada y así nos lo hizo saber la empresa.
Consideramos que tomarse tres meses para solucionar este tipo de errores (parcialmente) que atenta directamente contra el usuario, es una exageración y al expresárselo a la empresa, la respuesta recibida fue que "no contaban con personal suficiente", lo cual pone sobre el tapete una realidad de este y otros muchos sitios populares: su explosión en la web lleva a que millones de usuarios las utilicen pero, al desarrollar aplicaciones inseguras, las empresas no parecen ser consciente del daño que pueden ocasionar a todos sus usuarios... Para más ejemplo seguir la historia de Twitter, sus desarrollos y la (in)seguridad en su plataforma.
Cristian de la Redacción de Segu-Info
El reporte inicialmente se realizó a Bit.ly y posteriormente se solicitó la solución del bug a través de sus foros: Disable DNS wildcard to prevent abuse by phishers.
Luego de un proceso bastante complicado y extenso en donde Bit.ly parecía no entender la gravedad del problema, finalmente aceptaron solucionarlo y el día de hoy hemos recibido el comunicado de dicho proceso, por lo cual las direcciones del tipo http://bank.com.bit.ly/vive-forosi ya no funcionan y no podrán ser utilizadas para engañar usuarios, como pasaba hasta el momento.
Nota: este bug en realidad fue solucionado parcialmente y todavía puede ser explotado de otra forma y ya hemos denunciado el caso a la empresa que lo analicen a la brevedad.
Por otro lado hace un mes reportamos un XSS en el sitio de bit.ly que permitiría el robo de credenciales o la falsificación de sitios para el posterior phishing. Por ejemplo, crear un formulario falso para robar información:
Consideramos que tomarse tres meses para solucionar este tipo de errores (parcialmente) que atenta directamente contra el usuario, es una exageración y al expresárselo a la empresa, la respuesta recibida fue que "no contaban con personal suficiente", lo cual pone sobre el tapete una realidad de este y otros muchos sitios populares: su explosión en la web lleva a que millones de usuarios las utilicen pero, al desarrollar aplicaciones inseguras, las empresas no parecen ser consciente del daño que pueden ocasionar a todos sus usuarios... Para más ejemplo seguir la historia de Twitter, sus desarrollos y la (in)seguridad en su plataforma.
Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!