Seguridad de las webs

Hoy entro inocentemente a ver la web de la revista Science:

Escribo en el explorador http://www.sciencemag.org, intro y...



Acojonante, sin hacer nada y de repente soy el Señor Peter Schumckenheimer


My account:


Change your contact info:



Genial, peterschumckenheimer@mail.netmails.net, con teléfono y todo.
Un estafador, conocido como phisher, que se hace pasar por una persona o empresa de confianza no tendría muy dificil establecer una supuesta comunicación oficial (correo electrónico, llamadas telefónicas o ambos) y tratar de llevar a cabo una estafa electrónica.

Moraleja uno: desconfiar de mails y llamadas. Y nunca dar sus claves personales a nadie.

Pero supongamos que no entramos como otro usuario desde el principio y que la autentificación de la web funciona bien. Nos encontramos con un login vacío. Tenemos que rellenar a elegir User/AAAS member.

Pues ponemos un nombre comun al azar: Ian.


Respuesta de la web:


Ian Saville, Muchas gracias por darme el correo completo, señores. Bueno, ahora a probar con los passwords típicos: nombreapellido, apellido, ciudad, fecha de nacimiento... cualquier cosa que se nos ocurra.


Y ya tenemos hasta una dirección y un teléfono:


Por deslizes como éste hackear la cuenta de Sarah Palin (la gobernadora de Alaska) fue muy sencillo.

Moraleja dos: poner contraseñas que no salgan en google ni en documentos tipo DNi.

Bueno, con esto vemos que si a los fallos de programación les juntamos un poco de lo que se llama Ingeniería Social llegamos a la conclusión del día:
Seguridad de las webs... y un webo. Su seguridad depende de usted.

Bye!