Descubren cómo robar una cuenta de Google con doble autentificación

Escrito por Carlos González
Software

Un fallo de seguridad ha sido descubierto en la consola de administrador de las aplicaciones de Google. Dada esta vulnerabilidad (XSS), los atacantes tenían la posibilidad de desactivar la autenticación en dos pasos (2FA), así como redirigir todos los mensajes de correo electrónico recibidos por una cuenta de Google.

El problema de seguridad fue descubierto por Brett Buerhaus, que notificó a la compañía de Mountain View el pasado 1 de septiembe y, en tan solo 17 días, fue solucionado por Google. Como recompensa por el hallazgo, los de Google han ofrecido al investigador 5.000 dólares, puesto que así lo estipulan en su programa de recompensas de fallos de seguridad. Según esta vulnerabilidad catalogada como crítica, un atacante podía forzar al administrador de cuentas de Google a ejecutar prácticamente cualquier solicitud.

Esta consola, el administrador de cuentas de Google, permite añadir nuevos usuarios, configurar los permisos de cada cuenta, administrar la configuración de seguridad y algunos otros parámetros que, en manos ajenas, comprometen gravemente la seguridad de los usuarios. El administrador de cuentas es utilizado, entre otros, por parte de empresas que utilizan el servicio de correo electrónico de la compañía de Mountain View -Google-, y sirve como panel de control para establecer configuraciones como las anteriormente mencionadas. Concretamente, según este fallo de seguridad los atacantes podían:

  • Crear nuevos usuarios con permisos de administrador.
  • Desactivar la autentificación en dos factores (2FA) y otros sistemas de seguridad previamente configurados.
  • Redireccionar los buzones de correo electrónico para recibir todos los mensajes de una o varias cuentas de correo electrónico.
  • Robar una cuenta de correo electrónico, restablecer la contraseña o desactivar los sistemas de seguridad de forma temporal.

cuerpo-google-2fa

Con respecto a este serio problema de seguridad, la compañía de Mountain View ha mostrado un comportamiento impecable. No sólo han cumplido con su programa de recompensas ofreciendo 5.000 dólares al investigador que les ha ofrecido información sobre la vulnerabilidad, sino que han ofrecido además una solución realmente rápida, en tan solo 17 días desde que fuese descubierto el agujero de seguridad. Ahora bien, lo que suena extraño es que Google mantiene a su equipo Project Zero investigando fallos de seguridad de Microsoft, pero su problema ha tenido que descubrirlo alguien ajeno a la compañía.

Fuente > The Hacker News

Continúa leyendo
Comentarios
4 comentarios
  1. Islander 23 Ene, 15 11:08 am

    No es extraño, es que si están tan ocupados buscándole fallos a Windows (que no es necesariamente malo eso), pues obviamente no tienen tiempo para ocuparse de sus propias cosillas.

  2. Astembal 23 Ene, 15 11:19 am

    5000 euretes. Voy a hacer un máster en seguridad informática y “ale” a vivir de google!!

  3. LaGdroid 23 Ene, 15 11:23 am

    jajaja estos de google, nos ponemos con Android y es como si nos tocara la lotería…!!!

  4. aaron89 24 Ene, 15 1:55 am

    Seguramente las recompensas tendrán la finalidad de que a un hacker le venga mejor decirle a la empresa dónde está el fallo y llevarse el dinero, que simplemente publicarlo por ahí. Aunque también podría lucrarse a través de la Deep Web aunque sea un negocio ilegal.