lunes, 10 de octubre de 2016

Aliexpress No hace verificación de sus clientes

Son muchos los sitios webs afectados por los fallos de seguridad, pero es que hay muchos, que ya comprometen la seguridad de sus clientes desde el principio, desde el formulario de registro. Muchas webs no hacen las verificaciones correspondientes para asegurar lo máximo posible que el usuario no ha cometido ningún fallo que lo pueda comprometer.



El registro en AliExpress-una web para comprar online por si alguno no lo sabía aún- es muy sencillo, como la mayoría. El problema reside en que hace que escribas la contraseña 2 veces por si te has equivocado, pero no piden que escribas tu correo electrónico, otro factor importantísimo a la hora de hacer login en una web.


Después de escribir todos tus datos, te aparecerá un mensaje durante 10 segundos en los que te avisan de que has conseguido registrarte con éxito y que serás enviado a tu cuenta para que ya puedas comprar en AliExpress. En letra pequeña, te dicen que se va a enviar un correo a tu mail para verificar tu cuenta. Bueno, yo estoy escribiendo esta entrada 3 días después de probar esto, y aún o me ha llegado el mail de verificación.


Imaginemos que es porque yo me he equivocado en escribir mi dirección de correo electrónico. Eso implicaría que si he escrito la dirección de correo de otra persona, a ese otro usuario, cuando yo comprase, le llegaría correos electrónicos avisando de cómo va el pedido, con lo que podría alertarse y ver qué pasa, y para esto, lo mejor es decir "He olvidado la contraseña" scribiendo su mail, pues es su mail y no mío.


Una vez escrito la dirección de correo electrónico asociado a la cuenta, nos dan la opción de que envíen un código de verificación al correo electrónico.


El mail te lo envían en claro y además, con el candadito rojo, lo que nos muestra que no ha sido cifrado y que cualquiera podría ponerse en medio de la conexión y leerlo. Además el código es válido durante 15 minutos, a una persona que esté en medio de la conexión le bastaría con escribir el código antes que yo.


Y finalmente escribir tu nueva contraseña. Como veis, si te equivocas en tu dirección de correo electrónico y escribes la de un usuario con ese correo existente, podría recuperar la contraseña de forma muy sencilla. Además si has introducido tu tarjeta de crédito, podría comprar en tu nombre. Y todo, por no verificar el correo 2 veces.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...