Últimamente se ve con demasiada frecuencia que empresas de seguridad son atacadas o tienen algún tipo de problema relacionado, precisamente, con la seguridad.
Hay otros casos, como el de McAfee, en los que teniendo problemas de seguridad y siendo conscientes de ello, hacen oídos sordos incluso cuando desde fuera de la organización, se les advierte de tales carencias.
Un grupo de “hackers éticos” denominado YGN Ethical Hacker Group, descubrió que la algunos sitios web de McAfee presentaba algunas vulnerabilidades y que estas podrían ser explotadas a través de ataques del tipo XSS (Cross-site scripting), utilizados habitualmente en phising e inyección de código de scripting como javascript, VBScript, PHP,etc.
YGN advirtió a McAfee de tales vulnerabilidades el 10 de febrero y dos días más tarde McAfee respondió diciendo que ya conocían el problema y que estaban trabajando el ello para resolver la incidencia lo antes posible, pero el día 27 de marzo, mes y medio después, una nueva comprobación de YGN demuestra que aún no han sido solucionados dichos problemas. El mismo día 27, YGN decide publicar la información acerca de las vulnerabilidades descubiertas. Que descuido!.
La vulnerabilidad podría haber sido usada, entre otros en download.mcafee.com, para provocar que sus usuarios se descargaran, por ejemplo, una demo o una beta de sus productos infectada, evidentemente desde otro sitio y sin saberlo.
La compañía ha respondido diciendo que estas vulnerabilidades no exponen información alguna de clientes, partners o de la misma compañía, que por supuesto no afecta a sus productos de seguridad y que además, tampoco han observado que se hayan explotado estas vulnerabilidades. Quizá piensen que así sus clientes se quedan más tranquilos!.
McAfee ya tuvo problemas de este tipo en el pasado, en 2008, 2009 y 2010, pero parece que no han aprendido la lección.
Lo que realmente me llama la atención, no es que tengan este tipo de vulnerabilidades, que cualquiera las puede tener, sino que después de ser notificados, no hayan hecho nada al respecto, sobre todo sabiendo que si no se corrige, la información se va a hacer pública y eso cuando menos, no es beneficioso para su imagen.
Si McAfee tiene un servicio orientado a empresas, que se dedica a identificar problemas de seguridad en sus sites, solo se me ocurre un corolario para el post: En casa de herrero, cuchillo de palo.
No hay comentarios:
Publicar un comentario