Grave Vulnerabilidad en Mercado Libre…! No sobrestimes a nadie..! :)

Buenas y malas, ML

Hoy le venimos a traer un importante digamos bug de los QAs o entenderse como vulnerabilidad que podría ser mitigada siempre y cuando uses Doble Autenticación o Factor de Autenticación.
La zona gris entre la Usabilidad (facilidad de uso) y la Seguridad, una vez más se enfrentan para disputarse a un nuevo duelo.
No hemos descubierto nada raro, tan solo curiosado, o sin más, preguntado que pasaría sí tal cosa y tal otra, y hemos obtenido como respuesta el acceso completo a tu cuenta de ML luego de que acabaras de realizar tu compra y que posiblemente hayas reenviado tu correo o bien compartido tu url, botón o dirección de Calificación de la compra.
Aquí te pasamos el detalle del caso que estará siendo tratado por ML, habiéndose reportado debidamente:

Alcance: Control total de tu cuenta de ML

Objetivo: Mostrar como pueden acceder a tu cuenta de ML y tomar el control de ella sin mayores complicaciones.

Descripción del caso:

. Recibo un mail de ML para Calificar la compra que hice hace pocos días.

. Me ofrecen la facilidad de responder si lo Recibí o Decidí no Comprarlo o Tuve un problema.

boton_ML

. Surge aquí el problema cuando le digo que “Los Recibí bien” y me lleva directamente al sitio de ML para calificarlo.

URL_ML

. Hete aquí que al preguntarme cómo registran el feedback de la compra? cómo lo relacionan con la cuenta? me encuentro con que la sesión estaba INICIADA y con mi nick.

Continuá leyendo porque vale la pena entender Cómo es que una empresa que cotiza en la Bolsa Nasdaq tiene una vulnerabilidad de estás características.

Cuando le pido ver los datos de mi cuenta veo que accedo sin restricción, con lo cual me pregunto Será que tenía la contraseña almacenada en el navegador? cosa que no acostumbro!

Pruebo cerrar sesión y vuelvo a Calificar el producto ahora me dice fue calificado pero Sigue amiCuenta_ALL_MLccediendo a mi Cuenta por completo.

Por consiguiente y plena confianza reenvío la URL a mí socio para que pueda realizar todas las compras que el desee con mi usuario y creyendo que no va a dar bajo ningún concepto con mi Sesión, pero hete aquí que ha ingresado sin inconvenientes a toda mi Cuenta de ML.

Pero claro digo por lo menos no podrá apoderarse de mi cuenta, tendrá que conocer la contraseña actual y efectivamente así lo era ML le solicitaba la contraseña actual para cambiarla. Peroooo esto no termina acá, resulta que cuando deseamos cambiar la cuenta de recuperación de contraseña pues, sin ninguna validación, lo habrás conseguido.

Recuperacion_ML

Desde aquí en adelante y es así como tomarán el CONTROL TOTAL de tu cuenta de ML.

Como pueden acceder a tu cuenta de ML:

  • Consiguen la URL (dirección web) de la calificación del producto que compraste.
  • Reenvías tu mail a otra persona posiblemente el comprador u otro.
  • Otras variantes que se apoderen de la URL o el mail. Phishing, Gusanos, Troyanos, etc…

 Acciones tomadas/éticas:

Se notifica a la empresa de la vulnerabilidad. Debido que no existe formulario para reporte de Vulnerabilidades se intento notificar mediante el formulario de contacto pero de todos modos hemos recibido un mensaje de error. De todos modos se envió correo a info@mercadolibre.com.

errorReport_ML

msgError_ML

Mitigación?

Si existe una forma mínima de mitigar este tema, pero deberás realizar algunos ajustes para que esto suceda. Deberás configurar la autenticación de doble factor o como la llama ML agregar un “código de seguridad“, de esta forma al ingresar a la URL que “salta” el login te solicitará este código aleatorio, por el momento es la única forma de evitar que alguien que tenga acceso a ese link pueda accedar a nuestra cuenta.

 

Actualización 18:59

Desde @ML_Ayuda nos informan que estan tratando el asunto

image

 

Esperaremos las novedades para transmitirlas.

infoINseg

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s