El popular sitio para subir y compartir fotos Metroflog tiene un error de XSS (Cross Site Scripting) en muchas de las páginas de su sitio web, lo cual permite robar datos de acceso, cookies, o incluso armar una página falsa para engañar a los usuarios, como por ejemplo la siguiente:
Desde Segu-Info hemos podido constatar que este tipo de errores están siendo utilizados masivamente por los delincuentes para robar usuarios y claves de usuarios de esa plataforma (phishing).
Este es el caso de un dominio falso que pretendiendo ser el sitio oficial crea un frame y armar una página falsa en donde se solicitan los datos de acceso:
Este es el caso de un dominio falso que pretendiendo ser el sitio oficial crea un frame y armar una página falsa en donde se solicitan los datos de acceso:
Cuando el usuario desprevenido ingresa los mismos serán enviados al delincuente. Este tipo de acciones generalmente son desarrolladas por adolescentes que buscan una forma de engañar y molestar a otros usuarios en la red, pero no deja de ser preocupante la forma en que lo hacen.
Desde Segu-Info ya hemos alertado al sitio para que solucione los errores y hemos denunciando el sitio falso para que procedan a su baja.
Actualización 10:30 hs: luego de nuestra denuncia Metroflog ha solucionado la vulnerabilidad.
Desde Segu-Info ya hemos alertado al sitio para que solucione los errores y hemos denunciando el sitio falso para que procedan a su baja.
Actualización 10:30 hs: luego de nuestra denuncia Metroflog ha solucionado la vulnerabilidad.
EXTRAIDO DE
No hay comentarios:
Publicar un comentario