Tres investigadores superan el reto de hackear el correo electrónico del CEO de StrongWebmail
Tres investigadores de seguridad reclaman haber hackeado la cuenta de correo del consejero delegado de StrongWebmail, una empresa de correo electrónico seguro que hace dos semanas ofreció 10.000 dólares a la primera persona capaz de romper la seguridad de email.
Aviv Raff, Lance James y Mike Bailey afrontaron el reto lanzado por StrongWebmail y accedieron a la cuenta de correo de su CEO. Raff es un investigador israelí que habitualmente descubre vulnerabilidades en los navegadores y es conocido por sacar a relucir la conexión de Internet Explorer con los llamados ataques “carpet bomb” vinculados a un agujero en Safari de Apple.
A pesar de su hazaña, StrongWebmail no parece dispuesta, por ahora, a reconocerles el mérito. “Hemos tenido varias entradas y estamos revisándolas para ver si han cumplido las normas”, explicaba Darren Berkovitz, director de operaciones de la compañía en una entrevista. “Nos llevará cierto tiempo confirmarlo pero pagaremos el premio si alguien realmente entró en la cuenta”.
El servicio StrongWebmail añade otra capa de autenticación al registro en una cuenta de email online: verificación telefónica. Los usuarios registran uno o más números de teléfonos con el servicio, eligen uno de esos números, y luego utilizan un código de seguridad de tres dígitos proporcionado mediante una llamada de teléfono o un mensaje de texto para completar el proceso de registro.
Para el concurso, StrongWebmail dio a los concursantes la cuenta de correo de su CEO, su número de usuario y su password. Pero sin su móvil y su número, StrongWebmail confió en que el sistema era infalible. Sin embargo, un hilo de Twitter detalla que los tres hackearon la cuenta usando una o más vulnerabilidades cross-site scripting del servicio StrongWebmail y su site. Raff, sin embargo, se negó a comentar si esa fue la vía que los tres usaron.
“Sabíamos que no era 100% a prueba de balas”, admitió Berkovitz. “Ahora estamos examinando si hay un agujero en el software de correo, que hemos licenciado de terceros”.
El premio de 10.000 dólares, explicó Berkovitz, fue más un argumento promocional que un reto para los hackers. “El concurso se creó para atraer la atención sobre el estado de la seguridad del correo web”, dijo citando el incidente que la entonces candidata a la vicepresidencia de Estados Unidos Sarah Palin sufrió con su cuenta de Yahoo Mail. “En Hotmail, una de las preguntas de seguridad es ¿Cuál es el nombre de tu mascota? Puedo ir a tu página de Facebook y hacerme rápidamente con ello”, puntualizó.
StrongWebmail espera que el concurso empuje a los proveedores como Google, Yahoo o Microsoft a añadir niveles de autenticación similares a sus servicios.
