Los tres gigantes de la tecnología Google, Microsoft y Yahoo han fijado una debilidad importante en sus respectivos sistemas de correo electrónico que permitían enviar mensajes falsos que parecían fiables.
El miércoles, un aviso indicaba que las claves de firma DKIM menores de 1.024 bits son débiles. Todo comenzó con un supuesto reclutador de Google que envió un correo electrónico a un matemático de Florida.
Zachary Harris es un matemático de 35 años de edad que recibió un e-mail inesperado de un reclutador de Google sobre una posible oferta de trabajo.
Harris indicó que encontró el mail extraño y se preguntó si era falso, además de notar que utilizaba una clave de 512-bit. Sospechaba que esto podría ser una prueba por parte de Google para ver si el problema sería capturado, así que agrietó la llave y envió dos correos electrónicos falsos a los fundadores de Google, firmando cada correo electrónico como otra persona.
Resultó que no era una prueba, y que Harris había descubierto en su lugar un fallo de seguridad grave en el sistema de correo electrónico, que Google corrigió en voz baja poco después de los mensajes de correo electrónico falsificados fueran enviados.
Con un poco de excavación, resultó que Yahoo! y Microsoft tenían el mismo problema. De acuerdo con el informe en Wired, Harris también descubrió claves sub-1,024-bit utilizados por Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, Bank EE.UU., HP, HSBC y Match.com.
Más detalles en: Slashgear
