Matemático Suplanta a Sergey Brin y Larry Page, Por Fallo De Seguridad de Google

Zachary Harris, matemático de 35 años, recibió hace un tiempo un inesperado correo electrónico de Google en donde le ofrecían un puesto de trabajo.

“Obviamente tienes una pasión por Linux y la programación. Queríamos ver si estás abierto a explorar nuevas oportunidades con Google“, decía el correo.

Harris, escéptico, sabía que como matemático no era el candidato ideal que buscaba Google según el correo. Tras preguntarse si podía ser un caso de suplantación de identidad, verificó la información de la cabecera del email y encontró que todo aparentaba ser legítimo.

Notó algo raro, Google estaba usando una clave de dominio DKIM bastante débil (de 512 bits de largo cuando se recomendaba como mínimo 1.024 bits) para certificar que sus correos electrónicos provenían de un legítimo dominio corporativo de Google, lo que significaba que cualquiera con la suficiente habilidad podía crackearla y enviar correos a nombre de la empresa.

El matemático pensó que Google no podía ser tan poco precavido, por lo que concluyó que debía ser una forma especial para reclutar personal y testear si eran capaces de detectar esta vulnerabilidad, por lo que Harris decidió romper la clave DKIM y enviar un correo a cada uno de los fundadores de Google (Sergey Brin y Larry Page) personificando al otro.

Harris procuró poner su mail en la dirección de retorno del correo que le envió a Brin y Page, además de la dirección de su sitio web en el contenido del mensaje. Tras esperar dos días, notó que la clave DKIM de Google cambió a 2.048 bits y su sitio web comenzó a recibir muchas visitas desde direcciones IP de Google. Harris encontró una vulnerabilidad real en la empresa de Mountain View.

Tras darse cuenta, Harris verificó que el problema de una clave DKIM se repetía tanto en Yahoo, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com; quienes en gran parte ya mejoraron actualmente sus normas de seguridad para evitar la suplantación.

Información e Imagen Wired

2 Respuestas a “Matemático Suplanta a Sergey Brin y Larry Page, Por Fallo De Seguridad de Google

    • No, no lo consiguió porque no estaba interesado y Google no estaba buscando empleados realmente, solo lo hizo publico para exhibir los fallos de seguridad de estas grandes empresas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s