Inseguridad en los correos de ML

por | 02/24/2015

Quien no compro por MercadoLibre alguna vez ? Si buscas precios, hoy por hoy, creo que es donde mas beneficio se puede obtener; realmente es un excelente sitio donde te acerca a las cosas que queres comprar, pero… aparentemente no se preocupan demasiado en las seguridad de las cuentas de usuarios.

Ante todo, les voy a explicar 2 cosas que capaz no todos saben:

  1. Los correos electrónicos se envían, transportan y reciben en texto plano. Eso quiere decir que cualquiera que pueda obtener el mensaje mientras es transferido, lo puede leer sin complicaciones y sin que tanto el emisario o el receptor se enteren.
  2. Cuando navegamos por Internet e ingresamos a una URL, aunque la misma sea HTTPS ( HTTP con SSL ), se puede obtener en texto plano la URL realizando un simple «man in the middle», eso refiere que a cualquier persona que se interponga entre nuestro dispositivo, de donde sale la petición, y el servidor, quien recibe la petición, puede obtener la URL completa solicitada sin que ninguna de las partes se entere de eso. Una técnica fácil es utilizando un Proxy, los cuales existen en la mayoría de las empresas que trabajamos o que nos dan servicios de Internet ( ISP ).

Ahora volviendo al tema de ML…

Uno realiza una compra y a los días le llega un correo electrónico ( Asunto: «¿Cómo te fue con la compra de [Titulo_de_la_compra_que_realizamos] ?» ) donde le solicitan confirmar como resulto la compra, ahí esta el problema, en dicho correo hay dos links:

  1. Lo recibí bien – https://feedback.mercadolibre.com.ar/feedback/resolveStep?eparams=[HASH]&fulfilled=yes
  2. Tuve un problema – https://feedback.mercadolibre.com.ar/feedback/resolveStep?eparams=[HASH]&fulfilled=no

Una vez realizado el click en cualquiera de los links, se los dirige a la pagina donde pueden puntuar la compra y completar un texto resumiendo como salio todo con la comprar. Pero que pasa ? donde esta lo peligroso ? Si observan bien, una vez que ingresan al link que los redirige al sitio de ML van a poder apreciar que «mágicamente», obviamente no lo es, están conectados con su cuenta. Caso siguiente pueden ir a su cuenta o realizar cualquier operación sin que en ningún momento ingresen vuestras credenciales de acceso.

Siguiendo mi sorpresa, ya fue lo suficientemente grande para preocuparme, horas después de ya haber completado todo lo solicitado y cerrado la cuenta correctamente, vuelvo a ingresar en los links y recibo un mensaje del sitio notificandome que ya había calificado la compra, perooooooooooooooo…. aparece un botón grande donde dice «Ir a mi cuenta», ingenuo yo, hago click pensando que mi sesión había expirado, pero noo !! se dirige a mi cuenta sin problemas :(

Para mi forma de ver, tenemos dos grandes problemas:

  1. El ingreso a la cuenta simplemente por un link que es distribuido por un medio no seguro, es un foco bastante grande para que se puedan realizar robos de las mismas
  2. Que no haya caducidad de los links, es un enorme problema, porque una vez que uno ingreso y suponiendo que «alguien» capturo dicha URL puede utilizarla en un futuro sin problemas para acceder a nuestra cuenta.

Y como ya lo remarque, lo peor de todo, es que puede suceder sin que ninguna de las partes se de cuenta hasta que se realice algún acto delictivo que aparezca en el historial de compras o ventas.

Esta de mas decir que, una vez ingresado a la cuenta y sin ingresar las credenciales, se pueden realizar las principales acciones como:

  • Ver los datos personales del usuario
  • Ver que tarjeta de crédito tiene asignada a la cuenta, los cuatro últimos números y la fecha de vencimiento.
  • Ver el domicilio que se le asigno a la cuenta.
  • Modificar datos de la cuenta
  • Y otras funciones que tiene toda cuenta de ML.

Espero que la empresa se tome un tiempo para interiorizarse en el tema y resolverlo. Por lo pronto, los usuarios de ML tengan cuidado donde abren los links enviados por correo y desactiven las notificaciones por correo electrónico para que no le lleguen dichos e-mails.

Y otra cosa, para ir finalizando, esta sobre entendido que si obtienen solamente el [HASH] con dichas URL pueden ingresar a la cuenta sin credenciales también !!!

En este momento les estoy pasando a la gente de ML el link de este post para que vean la forma de solucionarlo, para mi forma de ver, es un «agujero» grande de seguridad.

 

 

ACTUALIZACIÓN:

3 semanas después de haber sido reportado el problema, la gente de Mercado Libre lo soluciono. Hoy en día es necesario loguearse antes de seguir con el proceso. Gracias ML !

3 pensamientos en “Inseguridad en los correos de ML

  1. Yasmin

    Muy bueno el post! de mucha ayuda

  2. Pingback: Otra vez sopa… – El Blog de Sepa

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.