miércoles, 23 de abril de 2014

WeTransfer un servicio sencillo y útil pero con un grave problema de confianza

Buenas a tod@s

Hoy vengo a hablaros de un servicio que yo hasta ahora no conocia, llamado Wetransfer (https://www.wetransfer.com/#) .

Wetransfer es un servicio pensado para enviar ficheros muy grandes a traves de correo electronico. El truco esta en que en vez de enviar el archivo adjunto a nuestro correo, envia un enlace al documento.

Basicamente es una especie de servicio de almacenamiento en la nube al estilo de mediashare, uploadfiles o rapidshare, dirigido a una problemática muy clara. Ademas nos garantizan que una vez pasado un perido de tiempo de 7 días, el fichero sera eliminado de sus servidores.

 

 

Como se utiliza

 

Es muy fácil de utilizar, tanto que no hace falta casi ni explicarlo.

·         Adjuntas el archivo o los archivos.

·         Introduces tu correo como remitente

·         Añades a los destinatarios

·         Escribes el mensaje que le llegara a tus remitentes

Todo fácil, sencillo y funciona, pero….

 

 

Un gran fallo de seguridad

 

Esta mañana le hemos encontrado un problema muy muy grave. El problema es que WeTransfer no comprueba la dirección del remitente, de tal forma que puedes enviar un correo con un adjunto haciéndote pasar por cualquier personaje famoso, empresa o persona particular.

Veamos un ejemplo.

 

Vamos a intentar enviar un correo con un adjunto haciéndonos pasar por google, además lo voy a enviar a mi cuenta de correo de Gmail (para en revesarlo más aún).

Pulsamos “Transferencia”, esperamos a que el fichero se transfiera.

Como podemos ver el fichero cuyo remitente es google@google.es se ha enviado correctamente. Este es el mensaje que ha llegado al destinatario

 

El destinatario vera este correo y es posible que solamente con ver el remitente del correo que aparece en el mensaje de por valido el correo y descargue el adjunto.

 

Como podéis ver el fallo de seguridad es muy grave. Puedes enviar como cualquier persona y a través de cualquier correo, imaginar si ese Excel adjunto que me he enviado para demostrarlo tuviera un virus, fuera un troyano, virus o cualquier software malintencionado.

La solución

 

La solución es muy sencilla. Lo lógico sería que WeTransfer envié un correo al remitente con un enlace, para validar el la dirección de correo del remitente. Una vez validado, enviaría el correo al destinatario.

Algo muy sencillo que solucionaría el problema de raíz

 

 

En conclusión

 

Un servicio muy interesante, sencillo, funcional pero con un fallo muy grave.

Enviar un adjunto como cualquier famoso puede ser un foco de virus brutal, solo hace falta recordar el famoso “I Love You” mutado luego como “Ana Kournicova” y otros tantos.

Me parece un fallo muy grave y más grave aun pensando que el servicio está desarrollado únicamente para esta función. Es decir es su cometido principal, no es una función secundaria como en otros servicios parecidos.

En su favor hay que decir que al menos el correo no es enviado con la dirección del remitente, sino con una propia de WeTransfer y se envía una copia al remitente (aunque claro si la cuenta no existe, este nunca llegará).

Bajo un punto de vista crítico, hasta que no lo solucionen, me parece un servicio poco fiable o del que al menos yo no me fiaría a menos de que me confirmaran por otra vía que el fichero es legítimo.

 

Espero la lectura haya sido amena e interesante

Muy importante, si decides comentar o republicar parte de este articulo porque te ha sido útil, por favor cita la fuente y el autor del mismo (vamos cítame) y pon un enlace al artículo de mi blog

 

Muchas gracias por leerme.

Saludetes a todos

 

P.D. Podéis seguirme en Twitter @Jberron y LinkedIn

 

No hay comentarios: