lunes, abril 01, 2013

Votaciones de Internet con CSRF alientan a los spammers

Ayer me pasaron un enlace por Twitter para votar a un blog en unos premios del Día de Internet que no conocía. Como no tenía ni idea de qué iba eso entré al enlace et voile, sin hacer nada más, ya había votado por ese sitio del que no tenía ni puta idea de qué era, de hecho, en el twitt que me llegó no se ve nada del sitio al que iba a votar. What the Fuck? ¿Un twittero robándome un voto?

Figura 1: El spammer explotando el CSRF del sistema de votaciones

Por supuesto, la persona que me había enviando la mención por Twitter se había dado cuenta del bug de seguridad y por tanto lo estaban explotando esta vulnerabilidad en el sistema de votaciones en plan spammer, como muestra el time-line de uno de los "promotores" de dicho sitio web al que me obligaron a votar.

Esto está muy feo, pues debería haber puesto la URL de la candidatura, como la que se puede ver en la Figura 2, y no la del voto directo, la que aparece en la Figura 3. Para que os hagáis una idea, la candidatura no era la de Wayra, pero el efecto es más o menos el mismo que se puede ver en este ejemplo.

Figura 2: La candidatura de Wayra y el link que permite votar por ella

Evidentemente la web tiene un sistema de votaciones inseguras, y el enlace de votaciones es vulnerable a CSRF, así que nada más sencillo. Basta con poner el link en Twitter, y la previsualización desde cualquier herramienta de Twitter generará un voto sin que la persona que recibe el twitt pueda decidir si quiere votar o no.

Por supuesto, poner el enlace en un iframe de algún blog y todo el mundo votará automáticamente, o como ya hice tiempo ha, enviar un e-mailing a tus amigos - si tienen iPhone con la pre-carga de imágenes automática mejor - con una imagen en HTML que apunte al enlace con la acción de votar y ganar las votaciones.

Figura 3: El enlace lleva directamente a un voto

En fin, que este sistema hace que el que vaya a ganar estas votaciones sea el que más enlaces ponga por la red, porque el sistema de votación no parece muy allá. Sin embargo, espero que en cuanto vean que hay muchos votos extraños mejoren el sistema y sancionen a los spammers y los descalifiquen. Sería feo que con estas técnicas ganaran un premio.

Saludos Malignos!

Actualización: A ofrecimiento mío, el causante del post escribe su punto de vista en este mensaje, para que lo tengamos en cuenta a la hora de evaluar este incidente, que esperemos que la AUI solucione pronto.

"Como promotor de "XXXXXXXXX" decidí junto con mis colaboradores presentar esta iniciativa a los premios del Día de Internet para dar mayor difusión a la iniciativa (que busca, sin ánimo de lucro, la concienciación de los jóvenes y de sus padres en el uso responsable de las nuevas tecnologías). Una vez presentada la candidatura y aprovechando las herramientas que la organización de los premios pone al alcance de los que se presentan, comenzamos a pedir el voto desde la propia página de los premios a través de twitter. Una de las personas a las que solicitamos el voto (por su especial significado) fue a Chema Alonso. Nuestra sorpresa ha sido cuando Chema ha descubierto que el sistema de votación tiene un bug de seguridad que le llevó a escribir este post. Desde nuestra iniciativa queremos dejar claro que en ningun momento hemos querido explotar ninguna vulnerabilidad y nunca hemos actuado de mala Fé. Por el bien de los premios tanto Chema como nosotros hemos pedido a la organización que se subsane este bug.


Quiero aprovechar para pedir perdon por este malentendido a quien hayamos podido molestar, y reiterar que este spam en ningun momento a sido malintencionado o consciente. Quiero aprovechar para dar las gracias a Chema por ayudarnos a descubrir el problema porque "La Seguridad es cosa de todos".

Un Saludo,

4 comentarios:

Oficina Técnica del Día de Internet dijo...

Buenos días Chema

A raíz de tus comentarios, hemos cambiado el sistema de votación de los Premios de Internet para que antes de votar aparezca siempre la información de la candidatura y evitar así que este problema se pueda repetir.

Muchas gracias

Trinity dijo...

Me ha venido genial leer en twitter tu post, pues sin tener intención de spammear, había colocado una imagen de los Premios en el lateral de mi blog y enlazaba directamente con el "votar", ha sido un lapsus.
Está mucho mejor y más legal poner el link únicamente a la candidatura, y que quien entre, decida o no darte el voto.
Gracias por preocuparte por estos temas.
Saludos.

Trinity dijo...

Se me olvidaba...Aunque lo he dicho por twitter, creo que la Oficina Técnica del Día de Internet debería también modificar el tuit automático que se genera cuando dan al botón "Twittear" cuando se está visualizando la candidatura de un blog, pues en este momento aparece un link al voto directo.
Saludos.

Trinity dijo...

Para ser justos, comentar que aunque se genere ese link en twitter, no es un problema, porque redirecciona a la candidatura, no realiza un voto.

Eleven Paths Blog

Seguridad Apple

Entradas populares