La semana pasada, se dio a conocer la noticia de que la candidata republicana a la vicepresidencia de Estados Unidos, Sarah Palin, fue víctima de una intrusión en su cuenta de correo electrónico en Yahoo, publicandose numerosas comunicaciones particulares de la candidata en el sitio sueco Wikileak.org.

Ahora se a dado a conocer que el hacker simplemente usó el procedimiento para cambiar la contraseña por olvido.

El hacker, cuyo alias es “Rubico” que intervino la cuenta de Palin cometó que lo único que hizo fue cambiar la contraseña de la candidata.  El procedimiento fué bastante sencillo ya que lo que tenía que hacer era seguir el procedimiento de Yahoo para registrar una nueva contraseña al haber olvidado la anterior.  Solo le tomó 45 minutos cambiar la clave de Palin.

La clave consiste en conocer las respuestas a una serie de preguntas estándares de control además de escribir un código CAPTCHA en el que los usuarios teclean una combinación de números y letras que resulta fácil de distingüir a una persona pero no a un programa automatizado.

El Hacker fué hallado al seguir la dirección IP desde la cual fue hackeada la cuenta, dicho IP corresponde a una compañia que provee Internet en Knoxville, Tennesse.  El IP provenía de un apartamento de estudiantes de la universidad de la localidad.

El domingo en la mañana, la cadena NBC informó que el FBI a registrado el apartamento de David Kernell (de 20 años) quien es hijo de Mike Kernell, un conocido legislador demócrata de Memphis.  La semana pasada, el nombre de David Kernell fué asociado como el hacker de la cuenta de Palin en diversos Blogs después de que alguien identificado como “Rubico” dijera que habia cambiado la clave de la cuenta de la candidata usando la funcionalidad de cambiar la contraseña.  El nombre de rubico fué asociado a la cuenta de correo electrónico rubico10@yahoo.com y al nombre de David Kernell al hacer busquedas por Internet y conseguir conexiones entre su nombre, el username y el correo en sitios como YouTube.

Por otra parte, la candidata ha sido criticada al usar un correo personal para enviar correos con asuntos de estado en vez de usar los correos que provee las organizaciones del estado.

Este procedimiento no solo es usado por Yahoo, sino por otras aplicaciones web, definitivamente, este procedimiento para recuperar contraseñas no es seguro.

Artículos relacionados:

1. Yahoo lanza aplicación para competir con Google Analytics Yahoo anunció el miercoles el relanzamiento del servicio IndexTools con...
2. Descubierta vulnerabilidad crítica en SQL Server Microsoft reveló el dia de ayer la existencia de una...