Match.com, el popular portal de citas, ha puesto en riesgo las contraseñas de sus más de 20 millones de usuarios por un fallo de seguridad.
El problema reside en que la web, en su página de inicio de sesión, no utiliza el protocolo de seguridad HTTPS, sino que emplea el estándar HTTP.
De esta manera, los datos que introducen los usuarios para logarse, que son la dirección de correo electrónico y lacontraseña, son susceptibles de ser robados por cualquier otra persona que esté utilizando la misma red WiFi.
La página, al no estar cifrada, no transmite los datos de inicio de sesión encriptados, de manera que un usuario conectado a la misma red WiFi podría ejecutar un ataque man-in-the-middle para robar la información.
Para llevar a cabo este ataque, el hacker crea una red ficticia que actúa como intermediara entre los usuarios y la conexión WiFi, permitiendo al ciberdelincuente obtener las direcciones de correo electrónico y las contraseñas de los usuarios que quieran acceder aMatch.com.
Este fallo en la protección de los datos de los usuarios ha sido descubierto por un lector deArs Technica, que alertó al medio especializado en tecnología acerca de lo que estaba sucediendo.
Ars Technica quiso probar si era posible el robo de los datos de acceso, y pudo obtener el correo electrónico y la contraseña de uno de sus reporteros cuando éste se logaba en el portal de citas.
En caso de que Match.com hubiese utilizado el protocolo de seguridad HTTPS, toda la sesión habría estado cifrada y no podrían haber conseguido los datos de incio de sesión del reportero.
No sabemos durante cuánto tiempo lleva existiendo este fallo de seguridad. Ars Technica hizo las pruebas el 16 de abril, y el lector que avisó del problema asegura que la primera vez que lo advirtió fue en el pasado mes de marzo.
El peligro de este fallo de seguridad es mayor si tenemos en cuenta que un gran número de personas utilizan la misma contraseña para diferentes sitios web.
Por ello, quien robe estas claves de acceso podría entrar también en los perfiles de las redes sociales e incluso en los sitios web bancarios de los usuarios.
0 Comentarios