Backdoor no Yahoo permite validar se e-mail é válido.

Publicado em 17 de setembro de 2009 por rbatori

Os spamers sempre buscam validar as contas de e-mails para melhorar suas listas, vender ou trocar com outros spammers.

A tela de autenticação do Yahoo (https://login.yahoo.com/config/mail?&.intl=br) possui alguns controles de segurança que evitam identificar se um e-mail é ativo através de tentativa e erro no processo de autenticação:

  • Exibe a mesma mensagem de erro em qualquer situação, se o e-mail, a senha ou ambos estão inválidos;
  • Após várias tentativas de autenticação, o Yahho exibe uma figura (capitcha) para validar os dados.

Porém, existe um página disponibilizada pelo Yahoo que realiza a autenticação de usuários, mas não implementa os mesmos controles de segurança da página on-line.

Você pode usar a URL abaixo para verificar se um e-mail está cadastrado no Yahoo.

http://69.147.112.199/config/isp_verify_user?l=maria@yahoo.com&p=333333

O parâmetro l é o e-mail do usuário (login) e o parâmetro p é a senha. A página irá responder exatamente o que está errado. Se o usuário não existe, a página irá responder:

ERROR:102:Invalid Login

Se o login estiver ativo e a senha estiver errada, a página irá responder:

ERROR:101:Invalid Password

Você pode verificar se seu e-mail tem conta ativa no Yahoo alterando o parâmetro l e verificando a resposta.

Como a página não implementa nenhum controle para evitar robôs, um spammer pode criar um script ou programa com um banco de dados de e-mail ou nomes conhecidos para verificar se os e-mails estão ativos no Yahoo. Ou até mesmo tentar advinhar a senha através de ataques de dicionário e/ou de força bruta.

Este exemplo reforça a recomendação de sempre aplicar as boas práticas de desenvolvimento seguro independentemente se a ameaça é explicita ou não. Neste caso, a página de validação de serviço deveria implementar a recomendação de não revelar detalhes em caso de falha na autenticação e ter algum mecanismo contra ataques de dicionário ou força bruta. Estes controles podem ser implementados facilmente através de um Web Application Firewall.

Referência: http://tacticalwebappsec.blogspot.com/2009/09/distributed-brute-force-attacks-against.html

Esta publicação está na categoria Segurança em Aplicações.

Os comentários estão encerrados.