Como uds saben en julio de este año, desde Segu-Info reportamos un error de Bit.ly y otros acortadores de URL que permitíán el uso de subdominios para redireccionar al usuario a enlaces maliciosos (DNS wildcard) y por lo tanto estaban siendo utilizados por phishers y spammers.

El reporte inicialmente se realizó a Bit.ly y posteriormente se solicitó la solución del bug a través de sus foros: Disable DNS wildcard to prevent abuse by phishers.

Luego de un proceso bastante complicado y extenso en donde Bit.ly parecía no entender la gravedad del problema, finalmente aceptaron solucionarlo y el día de hoy hemos recibido el comunicado de dicho proceso, por lo cual las direcciones del tipo http://bank.com.bit.ly/vive-forosi ya no funcionan y no podrán ser utilizadas para engañar usuarios, como pasaba hasta el momento.


Nota: este bug en realidad fue solucionado parcialmente y todavía puede ser explotado de otra forma y ya hemos denunciado el caso a la empresa que lo analicen a la brevedad.

Por otro lado hace un mes reportamos un XSS en el sitio de bit.ly que permitiría el robo de credenciales o la falsificación de sitios para el posterior phishing. Por ejemplo, crear un formulario falso para robar información:

Esta vulnerabilidad ya ha sido solucionada y así nos lo hizo saber la empresa.

Consideramos que tomarse tres meses para solucionar este tipo de errores (parcialmente) que atenta directamente contra el usuario, es una exageración y al expresárselo a la empresa, la respuesta recibida fue que “no contaban con personal suficiente”, lo cual pone sobre el tapete una realidad de este y otros muchos sitios populares: su explosión en la web lleva a que millones de usuarios las utilicen pero, al desarrollar aplicaciones inseguras, las empresas no parecen ser consciente del daño que pueden ocasionar a todos sus usuarios… Para más ejemplo seguir la historia de Twitter, sus desarrollos y la (in)seguridad en su plataforma.

Cristian de la Redacción de Segu-Info