28 - SPAM con googlepages - 18/03/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Hace poco Google inauguró un nuevo servicio denominado googlepages. El mismo permite la creación de sitios y páginas webs a los usuarios registrados previamente en gmail. Actualmente este servicio no se encuentra disponible por la gran cantidad de requerimientos realizados, lo que obligó a google a suspenderlo temporalmente.

En esta suspensión deberían evaluar otro matíz del servicio y que es el siguiente: cuando se crea una cuenta en googlepages la misma toma el nombre de su "cuenta padre" de gmail.

Supongamos que creamos una cuenta "[email protected]" y luego deseamos crear un sitio en googlepages; este último tomará el nombre http://suciospammer.googlepages.com.

Para una mente avispada no es difícil darse cuenta de este riesgo altamente potencial: google está "regalando" la cuenta "suciospammer" a los todo aquel que desee saberlo, es decir que está poniendo en juego la privacidad de sus usuarios.

Por ejemplo, si se realiza la siguiente búsqueda:

http://www.google.es/search?q=site%3A~.googlepages.com&start=0

Puede verse que aparecen alrededor de 15000 sitios con el formato http://xxxxxxxxx.googlespages.com; es decir 15000 potenciales víctimas del SPAM.

Debido a que la cuenta de googlepages, al momento de escribir este artículo, no puede deshabilitarse ni renombrarse no existe posibilidad de protegerse contra esta vulnerabilidad una vez creada la cuenta. La alternativa "más sana", para aquellos que aún no han creado su sitio, es obtener una nueva cuenta de gmail y utilizar la misma para crearlo.

De más está decir que esta cuenta se verá inundada de correo basura.

Más allá del workarround este es un grave error de diseño e implementación por parte de google, sobretodo si tenemos en cuenta el abanico de posibilidades que se abren al tener nuestras cuentas de correo expuestas.

Espero que cuando el servicio sea puesto a disposición de los usuarios nuevamente, este problema haya sido solventado.

Más Información:

http://www.onedegree.ca/2006/02/23/big-problem-with-google-pages

Buenos Aires, 18 de marzo de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto