Puede que publicar esto no sea muy ético, pero dada la difusión que ha tenido... ¿Qué más da?
Me acabo de enterar vía Barrapunto de una supuesta vulnerabilidad causada por la caché de Bloglines al suscribir el canal Atom de Gmail. ¿Qué cómo fue eso?
Vamos por parte. Gmail posee un canal de sindicación en Atom que posibilita, mediante un lector de feeds, como Bloglines, ver los últimos correos electrónicos que te han llegado. Ahora bien, la forma de trabajo de Bloglines es la siguiente: cada cierto tiempo, va guardando en su servidor los feeds requeridos, facilitando de esta forma las miles de peticiones que se realizan al día.
Entonces, qué es lo que pasa: la dirección del feed de Gmail es única para todas las cuentas (https://mail.google.com/mail/feed/atom), distinguiendo a los usuarios mediante una autenticación mágica y misteriosa. Sin embargo, al intentar sindicar tu cuenta en Bloglines... ¡Ves los correos de otra persona! Una mala jugada, sin duda, de la caché del servicio...
Además, al parecer queda expuesta tu clave de Gmail... Hasta ahora, los usuarios, tanto en el blog de NetDancer (quien denuncia la vulnerabilidad) como en Barrapunto, discuten el porqué pasa esto... Y claro, seguramente ya le habrán avisado a Bloglines. Así que por el momento, lo más sano es... No utilizar el feed de Gmail. ¡Así de simple!
Un Comentario
Yo sólo uso bloglines para ver los blogs
que han actualizado. Pero jamás he visto
mi correo desde ahí.
¿Me salvé de alguna vulnerabilidad, entonces?
Explícame porfis.