En las consecuencias de Yahoo! anuncia la brecha de 500 millones de cuentas de usuario, los investigadores Zero Day Initiative de Trend Micro (ZDI) están advirtiendo que un restablecimiento de contraseña desde el dispositivo móvil no se le pide que actualice sus contraseñas..
http://www.infosecurity-magazine.com/news/yahoo-mobile-mail-wide-open/
Traducción Google:
Como los mil quinientos millones de consumidores afectados por este incumplimiento saben, Yahoo! está recomendando a los usuarios actualicen su contraseña para rectificar la situación. Pero ZDI señaló que los usuarios que acceden a sus cuentas desde un dispositivo móvil no se le pide que actualice sus contraseñas. Esto permite a cualquier persona con las credenciales de cuenta para continuar el acceso a la cuenta de correo electrónico, lo que podría obtener datos personales adicionales para atacar más al individuo.
ZDI de Simon Zuckerbraun dijo que recibió una notificación de que su cuenta ha sido incluido en la brecha. Al igual que muchos otros, él se conectó a su cuenta y cambió su contraseña. Luego abrió su aplicación para iPhone de correo desde que se había configurado la aplicación para utilizar su cuenta de Yahoo. Se espera que se le pregunte por su nueva contraseña y era más que un poco sorprendido cuando descubrió que no era necesario. A pesar de que había cambiado la contraseña asociada con su cuenta de Yahoo, el teléfono estaba todavía conectada.
«Al investigar, se hizo evidente que Yahoo había emitido una credencial permanente al dispositivo,» ZDI señaló, en un análisis . «Esta credencial no caduca y no se revoca, cuando los cambios de contraseña. En otras palabras, si alguien ya tuvo acceso a su cuenta y configurar la aplicación para iOS Correo usarlo, todavía tendrían acceso a la cuenta, incluso después de los cambios de contraseña. Lo que es peor es que lo más probable sería que no se dan cuenta de que alguien todavía tiene acceso a su correo electrónico «.
Obviamente, esto podría conducir a una situación en la que millones de personas creen que están protegidos a pesar de que no lo son. Y ZDI señalar que, incluso para la seguridad consciente, que es difícil de ser diligentes; dispositivos asociados no están listadas en la pestaña «Seguridad de la cuenta» en la interfaz web, más bien, son intuitivamente no listadas en la pestaña «Actividad reciente». Y en la configuración del teléfono, no hay opción a través de la aplicación para cambiar la contraseña.
«Aquí son capaces de ver qué aplicaciones están conectadas a su cuenta con una opción para eliminarlos», señaló ZDI. «También es interesante ver las aplicaciones y los dispositivos están acabamos de mencionar por nombre de producto, en este caso iOS y la fecha autorizada. Es responsabilidad del usuario de averiguar qué es legítimo y qué no «.
Para mantener la seguridad, los usuarios deben cambiar su contraseña de Yahoo! en la web y en cualquier lugar que pueden haber reutilizado la contraseña de Yahoo comprometido con otros servicios en línea. A continuación, configurar la autenticación de dos factores (2FA) o el uso de grandes cuentas de Yahoo. A continuación, vaya a través de la página web de quitar cualquier material asociado.
Yahoo! no respondió de inmediato a una solicitud de comentarios. Vamos a actualizar la historia con cualquier declaración de que el gigante en línea.
Latest posts by Jose Miguel (see all)
- Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
- Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
- Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
- Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
- Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024
