Análisis del sitio MeetYourMessenger
Varios usuarios se han contactado con nosotros para preguntarnos sobre la confiabilidad de la red social MeetYourMessenger (URL omitida deliberadamente). Este sitio web está registrado en varios países incluyendo dominios .es, .ve, .ar, .mx, .br, etc. y a continuación contamos de que se trata.
Para popularizar su servicio, nos llega un correo electrónico de alguno de nuestros contactos:
Los datos para enviar la invitación son extraídos de la lista de contactos de un usuario ya registrado previamente. Esto se aclara en sus términos y condiciones:
Es curioso ver como estos términos han cambiado desde noviembre de 2008, cuando la gente de Bolsa Negra los analizó en inglés. Sería interesante saber si han cambiado el texto y también el comportamiento del sitio o sólo el texto, ya que en aquel momento se podía apreciar un abuso notable sobre el usuario.
En el correo que llega aparece una URL, que al visitarla se puede ver a todos los contactos como si ya estuvieran dentro de nuestro perfil (que todavía no hemos creado) y dando la impresión de que ya estamos registrados y formando parte de la red:
Como puede verse se simula una bandeja de entrada y supuestos mensajes en ella.
Lo que puede llamar la atención es como aparecen nuestros contactos y sus fotos en esa página.
Es sencillo, ya que el sitio accede a la cuenta de correo brindada, por lo que puede hacerse de los contactos, enviar el correo de promoción y extraer lo que necesite de la misma... siempre y cuando nosotros hayamos autorizado dicho acceso.
Cualquiera de los enlaces que figuran en esa página conducen al registro de un nuevo usuario. Es decir que se utiliza esta técnica para generar confianza en el usuario y que nos terminemos registrando, ya que aparenta que todos nuestros contactos ya lo han hecho.
Posterior a esto se ejecuta una "Configuración automática del perfil" a través de una aplicación Java, a la cual deberemos dar acceso a nuestro sistema:
Luego debemos completar el registro con nuestra información personal y una foto, aceptando nuevamente los términos y condiciones, que no podemos leer desde aquí, y en donde se nos informa que se utilizará nuestra cuenta para enviar mensajes a los contactos:
Luego del registro, se puede enviar invitaciones a toda nuestra lista de contactos, para lo cual se debe brindar acceso a la cuenta de correo utilizada (Hotmail, Gmail. Yahoo, etc.) a través del nombre de usuario y contraseña:
Remarcamos que nuevamente quien brinda el permiso a la cuenta es el usuario por lo que se debe prestar atención a este tipo de sitios.
Por otro lado, si se desea mostrar nuestras fotos públicamente en la página principal del sitio, se debe abonar cierto monto para obtener un perfil VIP:
Para finalizar, es notable lo diferente que son todos los sitios dependiendo del país en el que intentemos registrarnos:
Como conclusión podemos decir que los métodos utilizados por los creadores de este sitio son los utilizados por la mayoría de ellos pero se intenta convencer al usuario para registrarse de diversas formas no del todo claras, se ofrecen aplicaciones para descargar y se invita a nuestros contactos a participar a través de un perfil inexistente.
Actualización 09/03/2009 22:00 hs: acabo de recibir un correo que permite un login automático en la cuenta, es decir sin ingresar usuario y contraseña. Además, en este correo figuran el usuario y contraseña de mi cuenta.
Esto confirma que las contraseñas son almacenadas en texto plano (o por un método de cifrado reversible) en su base de datos, lo cual no es lo recomendable por las buenas prácticas y muchos menos cuando el sitio almacena información personal de los usuarios.
Cristian de la Redacción de Segu-Info
Para popularizar su servicio, nos llega un correo electrónico de alguno de nuestros contactos:
Los datos para enviar la invitación son extraídos de la lista de contactos de un usuario ya registrado previamente. Esto se aclara en sus términos y condiciones:
Es curioso ver como estos términos han cambiado desde noviembre de 2008, cuando la gente de Bolsa Negra los analizó en inglés. Sería interesante saber si han cambiado el texto y también el comportamiento del sitio o sólo el texto, ya que en aquel momento se podía apreciar un abuso notable sobre el usuario.En el correo que llega aparece una URL, que al visitarla se puede ver a todos los contactos como si ya estuvieran dentro de nuestro perfil (que todavía no hemos creado) y dando la impresión de que ya estamos registrados y formando parte de la red:
Como puede verse se simula una bandeja de entrada y supuestos mensajes en ella.Lo que puede llamar la atención es como aparecen nuestros contactos y sus fotos en esa página.
Es sencillo, ya que el sitio accede a la cuenta de correo brindada, por lo que puede hacerse de los contactos, enviar el correo de promoción y extraer lo que necesite de la misma... siempre y cuando nosotros hayamos autorizado dicho acceso.
Cualquiera de los enlaces que figuran en esa página conducen al registro de un nuevo usuario. Es decir que se utiliza esta técnica para generar confianza en el usuario y que nos terminemos registrando, ya que aparenta que todos nuestros contactos ya lo han hecho.
Posterior a esto se ejecuta una "Configuración automática del perfil" a través de una aplicación Java, a la cual deberemos dar acceso a nuestro sistema:
Luego debemos completar el registro con nuestra información personal y una foto, aceptando nuevamente los términos y condiciones, que no podemos leer desde aquí, y en donde se nos informa que se utilizará nuestra cuenta para enviar mensajes a los contactos:
Luego del registro, se puede enviar invitaciones a toda nuestra lista de contactos, para lo cual se debe brindar acceso a la cuenta de correo utilizada (Hotmail, Gmail. Yahoo, etc.) a través del nombre de usuario y contraseña:
Remarcamos que nuevamente quien brinda el permiso a la cuenta es el usuario por lo que se debe prestar atención a este tipo de sitios.Por otro lado, si se desea mostrar nuestras fotos públicamente en la página principal del sitio, se debe abonar cierto monto para obtener un perfil VIP:
Para finalizar, es notable lo diferente que son todos los sitios dependiendo del país en el que intentemos registrarnos:
Como conclusión podemos decir que los métodos utilizados por los creadores de este sitio son los utilizados por la mayoría de ellos pero se intenta convencer al usuario para registrarse de diversas formas no del todo claras, se ofrecen aplicaciones para descargar y se invita a nuestros contactos a participar a través de un perfil inexistente.Actualización 09/03/2009 22:00 hs: acabo de recibir un correo que permite un login automático en la cuenta, es decir sin ingresar usuario y contraseña. Además, en este correo figuran el usuario y contraseña de mi cuenta.
Esto confirma que las contraseñas son almacenadas en texto plano (o por un método de cifrado reversible) en su base de datos, lo cual no es lo recomendable por las buenas prácticas y muchos menos cuando el sitio almacena información personal de los usuarios.Cristian de la Redacción de Segu-Info
muchas gracias es la mejor respuesta que he leido sobre esta pagina sospechosa, yo he recibido varias invitaciones e incluso le di click para ver la invitacion de tal.... y salio efectivamente como si hubiera creado mi perfil, que susto porque incluso sale mi nombre y mi apellido... me da temor que ya tengan todos mis datos, pero que yo recuerde nunca he creado una cuenta en este lugar.
ResponderBorrarmuchas gracias tienen un 10
Antes de recibir la invitacion de meetyourmessenger.es , recibi de la misma persona que se supone que me envio, la invitacion de quepasa.com, habra alguna relacion entre ambos ?
ResponderBorrarGracias por la info :)
Hola
ResponderBorrarDesconozco si existe relación entre ellos pero si alguien sabe se agradece.
Cristian
como se puede romper la relacion? k tiempo es el del contrato' gracias
ResponderBorrarHola Anonimo
ResponderBorrarNo hay tiempo de contrato por lo que dudo que algún día te dejen de llegar correos.
Cristian
A mi me llegó un correo con una primera línea que dice que ya estoy registrado y un link para deshacer esta suscripción. Por las dudas no entré. Pregunto, el solo hecho de abrir el correo, tiene alguna implicancia?
ResponderBorrarHola Anonimo:
ResponderBorrarNo, solo con abrir el correo en este caso no pasa nada. El engaño de la desuscripción es un metodo normal para que hagas clic.
Cristian
Muchas gracias por esa información.
ResponderBorrarMi naturaleza es investigar o verificar lo que llegue a mi alcance, por eso encontré este sitio.
Es bueno ser precavida, nunca se sabe con qué te esperan.
bye!
a mi me llego una invitacion y le di clic me cree un perfil igualmente con datos falsos porque queria saber de q se trataba (si la persona q me habia invitado era quien pensaba) me lo cree y todo y cuando busq en google enocntre esta pagina y unas otras q decia q robaba contraseña y todo eso. entonces puse en eliminar perfil y lo elimine y bloquee para q no me lleguen mas mails. no hay ninguna posiblidad de q puedan seguir robandome informacion no ? ya que probe i mi perfil ya no existe en la pagina..por favor responder
ResponderBorrar