Quora y su fallo de confidencialidad

Escrito por aserrano. Posteado en quora

Por todos los informáticos es conocido que al hacer un formulario de entrada clásico, login-password, en el momento que no se introducen datos válidos no se debe informar de que ha fallado, ya sea el login, ya sea la contraseña.

Quora va un pasito más allá, en su formulario de entrada, no sólo te informa de que el login es correcto sino que incluso te dice a quien pertenece y todo ello sin ni siquiera entrar la contraseña, todo ello gracias a Javascript y AJAX. ¡Probad! ¡Probad!

Id al formulario de entrada, probad a introducir el correo de un amigo que sepáis que está en quora, pulsad el tabulador y vualá, os aparece su nombre.

Con esto hemos conseguido dos cosas, validar el correo, se podría hacer spam con él, y relacionarlo con un nombre y posiblemente unos apellidos.

Si además algún hacker se dedica a investigar el javascript de la página posiblemente, no he tenido tiempo de hacer mis propias investigaciones, pueda realizar una mini-aplicación para averiguar los correos de mucha gente.

Fallo de seguidad garrafal, fallo de confidencialidad enorme. Muy mal por los chicos de Quora.

Me he permitido el lujo de hacer esto de interés público porque después de reportarlo dos veces a quora no han tenido a bien contestarme y espero que si llega a la opinión pública eliminen ese formulario.

¿que os parece? ¿os parece tan grave como pienso? ¿o pensáis por el contrario que no es tan grave?

Etiquetas:,

"Trackback" Enlace desde tu web.

Comentarios (5)

Deja un comentario

Time limit is exhausted. Please reload CAPTCHA.

Nota legal

(C) Antonio Serrano 2012