Error de seguridad en Flickr permití­a que se enví­en fotos a cuentas de usuarios ajenas

Publicado el

flickr

Los problemas de seguridad en Yahoo! parece que no tienen fin. Ahora es un error en el sistema de subida de fotos en Flickr el que sale a la luz, problema que permitirí­a la subida de imágenes en cuentas de otras personas.

Flickr asocia una cuenta de email única para cada usuario, dirección que se puede usar para enviar fotos desde el cliente de correo electrónico. Es una opción realmente cómoda, pero si alguien descubre ese email único, podrí­a enviar fotos a nuestra cuenta sin necesidad de identificarse.

El defecto residió en esta función, una vulnerabilidad descubierta por el investigador de seguridad Jazzy, quien documentó el tema en su blog.

Lo que hizo para encontrar el error es verificar si hay una manera de extraer una larga lista de direcciones de correo electrónico generadas por Flickr, y verificó que hay una opción para cambiar el correo electrónico generado automáticamente y obtener uno nuevo. Después de repetir el procedimiento unas cuantas veces más, notó un patrón, y creó un script de Python que cambiarí­a su dirección de correo electrónico de Flickr repetidamente y registrarí­a cada nueva dirección única en un archivo de registro.

Las direcciones generadas tienen un 50 por ciento de probabilidad de pertenecer a un usuario real, por lo que si se empiezan a enviar fotos a dichos emails, la base de datos de imágenes se llenarí­a de forma inmediata: los 50 millones de usuarios de Flickr podrí­an ver toneladas de fotos en sus cuentas.

Jazzy ya ha notificado a Yahoo de la vulnerabilidad, y el problema ya se ha solucionado.

Publicado en
Etiquetado
flickr

Comparte en: