Tenemos el mejor newsletter del mundo mundial. Posta!

Lo escribimos a mano. Un correo por día con noticias para nuestra generación. Simple. Sin vueltas y sin spam 😉

Hackeo

Cómo te pueden robar info clave usando nada más que tu cuenta de Gmail 😬

Actualizada 10/04/2018 10:59

Casi le pasa al bloggero James H. Fisher. El desarrollador inglés estuvo a punto de darle los datos de su tarjeta de crédito a una persona desconocida, todo por un error relacionado a la posibilidad que te da Gmail de que si mandan un mail a una casilla con igual nombre que la tuya salvo por algún punto perdido en el medio, te llegue igual a vos.

🗨 "Este nuevo tipo de estafa vía phishing es permitida gracias a una opción oscura de Gmail que se llama "los puntos no importan", dice James en su blog.

Al desarrollador le llegó un mail oficial de netflix.com para "Actualizar los datos de tu tarjeta de crédito o débito". Pensó que era bastante raro pero igual lo abrió para ver qué onda. Cuando lo leyó bien se dio cuenta de que el número de tarjeta que estaba siendo rechazada no correspondía con ningún plástico suyo 💳


Chequeando el mail otra vez vio que en realidad Netflix le había mandado el pedido de actualización de datos a james.hfisher@gmail.com, cuando su correo es jameshfisher@gmail.com, sin ningún punto. ¿Por qué le llegó entonces? Porque en Gmail, "los puntos no importan".

Si alguien suma un punto o varios a tu dirección de email, igual te llega. Ejemplo: si tu mail es juanperez@gmail.com y alguien se confunde y te escribe a juan.perez@gmail.com o j.u.a.n.p.e.r.e.z@gmail.com, el mail lo vas a recibir igual.

Según James, Netflix es una de las empresas que no tiene en cuenta este detalle de Gmail y deja que se creen usuarios bajo los nombres juanperez@gmail.com y juan.perez@gmail.com, por ejemplo.

El que la creo con el punto va a tener acceso a su cuenta de Netflix porque la abrió con una contraseña específica, pero si arranca el proceso para cambiarla, al que tiene una cuenta sin punto también le va a llegar el link de reseteo 😑


James pudo ver todo lo que un usuario que no era él había visto en los últimos meses. Y aunque estuvo rápido y no metió ningún dato de su tarjeta, podría haberlo hecho y que el dueño de la otra cuenta aprovechara para cambiar su email y contraseña y usar su tarjeta de crédito.

💭 Las teorías sobre por qué pasa esto son varias. Algunos dicen que es culpa de Netflix por no chequear cada registro nuevo con un email y otros, como James, dicen que es culpa de la política "los puntos no importan" de Gmail.