De acuerdo con The Hacker News, la historia es un poco más complicada. Hace dos meses, Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, escribió una prueba de concepto y la reportó a la empresa el 11 de septiembre.
Según Kumar, Google no se molestó por el tema y le informó que no era explotable. Por lo tanto tampoco le concedió su recompensa Kumar.
Para empeorar las cosas, ayer otro hacker búlgaro "Keeper" informó que la vulnerabilidad sigue activa, después de múltiples denuncias a Google. Los hackers crearon una página de phishing usando la falla de XSS persistente "para poder demostrar al mundo de que no se trata de un error menor".
Así es como se ve la página falsa:
Esto es sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan detalles, queda claro que el dominio Google.com está siendo abusado.
Cristian de la Redacción de Segu-Info
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
Fuente: blog.segu-info.com.ar
No hay comentarios:
Publicar un comentario