Foro de Mauro Bernal | Juegos y Programas FULL

Fecha actual Dom, 20 May 2012, 23:16

Buscar temas sin respuesta | Ver temas activos


Índice general » Noticias » Novedades

Todos los horarios son UTC - 3 horas




Nuevo tema Responder al tema  Página 1 de 1
  [ 1 mensaje ] 
  Imprimir vista Tema previo | Siguiente tema 
Autor Mensaje
administrador
 Asunto: Análisis del sitio MeetYourMessenger - Tener en cuenta
NotaPublicado: Mié, 08 Abr 2009, 21:27 
Desconectado
Administrador del Sitio
Administrador del Sitio
Avatar de Usuario

Registrado: Dom, 01 Mar 2009, 00:00
Mensajes: 236
Ubicación: Mendoza
{ FLAG }:
Argentina
Hace unos días recibi un mensaje en hotmail con una invitación desde meetyoumessenger enviada por un contacto.


Tiene (1) invitación sin leer "Hola :-)" de XXX en meetYourmessenger.com.ar

Haga clic aquí XXX
Mostrar el mensaje en la bandeja de entrada temporal en meetYourmessenger.com.ar

Un cordial saludo
meetYourmessenger.com.ar


Aparentemente no tenía nada extraño, salvo que al preguntarle a esa persona me afirmo que ella no había enviado nada.... Mas extraño aun fue que al entrar a la página para leer el supuesto mensaje la página queria instalar una aplicacion en mi máquina... Por ello es que me puse a investigar un poco y encontré este artículo...

Varios usuarios se han contactado con nosotros para preguntarnos sobre la confiabilidad de la red social MeetYourMessenger (URL omitida deliberadamente). Este sitio web está registrado en varios países incluyendo dominios .es, .ve, .ar, .mx, .br, etc. y a continuación contamos de que se trata.

Para popularizar su servicio, nos llega un correo electrónico de alguno de nuestros contactos:

Imagen

Los datos para enviar la invitación son extraídos de la lista de contactos de un usuario ya registrado previamente. Esto se aclara en sus términos y condiciones:

Imagen

Es curioso ver como estos términos han cambiado desde noviembre de 2008, cuando la gente de Bolsa Negra (http://bsod.bolsanegra.net/2008/11/17/meetyourmessenger-otro-sitio-en-el-que-confiar/) los analizó en inglés. Sería interesante saber si han cambiado el texto y también el comportamiento del sitio o sólo el texto, ya que en aquel momento se podía apreciar un abuso notable sobre el usuario.

En el correo que llega aparece una URL, que al visitarla se puede ver a todos los contactos como si ya estuvieran dentro de nuestro perfil (que todavía no hemos creado) y dando la impresión de que ya estamos registrados y formando parte de la red:

Imagen

Como puede verse se simula una bandeja de entrada y supuestos mensajes en ella.

Lo que puede llamar la atención es como aparecen nuestros contactos y sus fotos en esa página.
Es sencillo, ya que el sitio accede a la cuenta de correo brindada, por lo que puede hacerse de los contactos, enviar el correo de promoción y extraer lo que necesite de la misma... siempre y cuando nosotros hayamos autorizado dicho acceso.

Cualquiera de los enlaces que figuran en esa página conducen al registro de un nuevo usuario. Es decir que se utiliza esta técnica para generar confianza en el usuario y que nos terminemos registrando, ya que aparenta que todos nuestros contactos ya lo han hecho.

Posterior a esto se ejecuta una "Configuración automática del perfil" a través de una aplicación Java, a la cual deberemos dar acceso a nuestro sistema:

Imagen

Luego debemos completar el registro con nuestra información personal y una foto, aceptando nuevamente los términos y condiciones, que no podemos leer desde aquí, y en donde se nos informa que se utilizará nuestra cuenta para enviar mensajes a los contactos:

Imagen


Luego del registro, se puede enviar invitaciones a toda nuestra lista de contactos, para lo cual se debe brindar acceso a la cuenta de correo utilizada (Hotmail, Gmail. Yahoo, etc.) a través del nombre de usuario y contraseña:

Imagen

Remarcamos que nuevamente quien brinda el permiso a la cuenta es el usuario por lo que se debe prestar atención a este tipo de sitios.

Por otro lado, si se desea mostrar nuestras fotos públicamente en la página principal del sitio, se debe abonar cierto monto para obtener un perfil VIP:

Imagen

Para finalizar, es notable lo diferente que son todos los sitios dependiendo del país en el que intentemos registrarnos:

Imagen




Como conclusión podemos decir que los métodos utilizados por los creadores de este sitio son los utilizados por la mayoría de ellos pero se intenta convencer al usuario para registrarse de diversas formas no del todo claras, se ofrecen aplicaciones para descargar y se invita a nuestros contactos a participar a través de un perfil inexistente.



Actualización 09/03/2009 22:00 hs: acabo de recibir un correo que permite un login automático en la cuenta, es decir sin ingresar usuario y contraseña. Además, en este correo figuran el usuario y contraseña de mi cuenta.

Imagen


Esto confirma que las contraseñas son almacenadas en texto plano (o por un método de cifrado reversible) en su base de datos, lo cual no es lo recomendable por las buenas prácticas y muchos menos cuando el sitio almacena información personal de los usuarios.

fuente:http://segu-info.com.ar Cristian

_________________
Administrador del Foro
email:info@maurobernal.com.ar
Imagen

Arriba
 Perfil  
 
Mostrar mensajes previos:  Ordenar por  
Nuevo tema Responder al tema  Página 1 de 1
  [ 1 mensaje ] 

Índice general » Noticias » Novedades

Todos los horarios son UTC - 3 horas


¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

No puedes abrir nuevos temas en este Foro
No puedes responder a temas en este Foro
No puedes editar tus mensajes en este Foro
No puedes borrar tus mensajes en este Foro
No puedes enviar adjuntos en este Foro

Buscar:
Saltar a:  
News News Site map Site map SitemapIndex SitemapIndex RSS Feed RSS Feed Channel list Channel list
Diseños y Desarrollos a medida gracias a Diseño Web Mendoza © 2010
Traducción al español por Huan Manwë para phpbb-es.com
phpBB SEO