1

Error en Amazon.com permitió pruebas ilimitadas de contraseñas

Amazon sufre problema de seguridad.
Amazon sufre problema de seguridad.

Un error en la aplicación móvil de Amazon.com (ya arreglada), permitió que hackers tuvieran un número ilimitado de pruebas para tratar la contraseña de una persona, según la empresa de seguridad FireEye.

Si los usuarios ingresaban un password incorrecto 10 veces en la web de Amazon.com, la compañía requería que resolvieran un CAPTCHA. El CAPTCHA tiene como intención evitar que programas automatizados traten rápidamente diferentes passwords.

Pero Amazon.com no mostró un CAPTCHA en su aplicación móvil para iOS y para Android, permitiendo pruebas ilimitadas, según los investigadores Min Zheng Tao Wei y Hui Zue, de FireEye, que escribieron sus hallazgos en el blog de FireEye.

FireEye notificó a Amazon.com del problema el 30 de enero y Amazon.com le dijo a la compañía de seguridad el 19 de febrero que el error ya había sido arreglado.

El nombre de usuario para muchos clientes de Amazon.com es su cuenta de correo, que suele ser fácil de obtener para los hackers. Debido a otros filtros de datos, existe una gran lista de contraseñas usadas usualmente que circulan por la web, que podrían ser incorporados a un programa para tratar de validar la cuenta.

“Lo que hace las cosas peor, es que muchas personas usan el mismo password en diferentes servicios, por lo que los atacantes pueden controlar más cuentas que solo la de Amazon, tras conocer la contraseña”, dijo Wei en un correo.

En un post, los investigadores de FireEye escribieron que Amazon.com no requiere las llamadas contraseñas “fuertes”. Es posible usar contraseñas débiles como “123456” y “111111”, que pone las cuentas en riesgo.

Los investigadores crearon un ejemplo para la versión 2.8.0 de Amazon.com en Android, que sacaba el password de una cuenta que habían creado. “Esta prueba intentó 1,000 contraseñas incorrectas antes de obtener la que funcionaba”, escribieron.

El problema fue descubierto por Amazon, pero Wei dice que “han encontrado estos problemas en varias apps de varios fabricantes”.

Fuente: CIO / Jeremy Kirk / 26-02-14