Fallo en GMail permite robo de dominio a un blogger

botgmail.jpgLa historia de David Airey es alucinante, por las penurias que pasó, por la insensatez de todo el proceso y por el fallo de Google GMail que permitió lo que le pasó.

A modo de resumen, el pobre de David se fue de vacaciones y a la vuelta se encontró con su dominio (www.davidairey.com) había sido transferido a otro usuario con el proceso habitual: solicitud de transferencia, entrega del AUTH-CODE, confirmación del «titular» por email. Con la salvedad de que el titular real, David, no se enteró de este proceso. Para mas INRI, el nuevo «titular» pretendía cobrar a DAvid por recuperar SU dominio. Tienes la historia completa en su (nuevo) blog.

Y todo esto fue posible debido a un fallo de Google GMail que explota la técnica de HiJack. El proceso pasa por visitar la página de GMail, visitar una página que inyecta el exploit y agrega una puerta falsa a la cuenta de GMail invadida. A partir de ahí ya puedes acceder a ella como si fuera tuya, y aprovechar la ausencia del titular para hacer y deshacer a tus anchas. Sin necesidad de seguir entrando, solo con crear un filtro de reenvío ya tenía la solución a su «robo».

Y el caso es que nadie sabemos si estamos libres de este peligro así que si tienes una cuenta GMail, a pesar de que parece que el problema está solucionado, mas vale que lo revises por si alguien hubiese introducido un filtro similar anteriormente.

Solo tienes que acceder a la configuración, ir a la pestaña filtros y comprobar que no hay ninguno que tu no hayas definido anteriormente.

Clic para ampliar

Vía | Digg

Ir arriba