En esta entrada voy a explicar como Zachary Harris, un matemático de 35 años de Florida, Estados Unidos consiguió detectar un fallo de seguridad en Google. Un día recibió un email de Google ofreciéndole un trabajo: “Obviamente tienes una pasión por Linux y la programación. Queríamos ver si estás abierto a explorar nuevas oportunidades con Google“.
Al recibir el mail dudo si este podía ser un caso de spoofing (suplantación de identidad ), porqué no tenía claro que su perfil fuera el indicado, pero vió que era una oferta real.
Al analizar el mail recibido, vió que Google estaba usando una clave de dominio DKIM bastante débil (de 512 bits de largo cuando se recomendaba como mínimo 1.024 bits), con lo que pensó que cualquier persona con un poco de habilidad podía crackearla y enviar correos a nombre de la empresa Mountain View. Harris consiguió crackear la clave DKIM y mando un correo a cada uno de los fundadores de Google. En el correo puso su mail en la dirección de retorno y su sitio web en el mensaje, y después de unos días empezó a recibir muchas visitas desde Google.
Este problema de la debilidad de la clave DKIM (de menos de 1.024 bits) se repetía en Yahoo, Microsoft, Dell, Apple, eBay, Amazon, PayPal, Twitter, SBCGlobal, US Bank, HP, HSBC, y Match.com, y rápidamente solucionaros el problema.
Al final Harris no entro a trabajar en Google, porque ni necesitaban a gente, ni a el le interesaba entrar.
No hay comentarios:
Publicar un comentario