Domisfera

Gracias a Noel,  Domisfera procede a informar de un fallo de seguridad en la plataforma Sedo.

El bug consiste en que Sedo no está pasando vía url las contraseñas cifradas, es decir, que si alguien coge la dirección que aparece en la url, una vez logueado, y la manda a otra persona, ésta podrá acceder a su cuenta de usuario en Sedo. Sin necesidad de conocer el usuario y contraseña.

Esto podría ser un grave problema, si por ejemplo, alguien le manda las estadísticas a un tercero pegando el link que figurar en la url del navegador. O si alguien accede a un ordenador donde ha habido alguien conectado a Sedo, pues se pueden saber las urls a las que se ha tenido acceso (una oficina, un cyber…)

Por ejemplo, partamos de esta dirección:

http://www.sedo.com/member/index.php3?partnerid=&language=es&tologin_x=0&tologin_y=0&session=141325%
257d89f5a528441d5a5de6bbe74f486bc7

Si la desglosamos por líneas:

http://www.sedo.com/member/index.php3?partnerid=&language=es&tologin_x=0&tologin_y=0&session=
141325 
%25
7d89f5a528441d5a5de6bbe74f486bc7

Si analizamos las direcciones web de Sedo, lo que sale tras session= y antes del % es el identificador de usuario, 141325 en este
caso, y luego, salen 34 letras tras el % son dos dígitos fijos, y luego un hash md5, es decir, una cadena de variables resumidas mediante una
fórmula que devuelven 32 caracteres, y que a partir de ese hash o resumen cifrado, no se puede sacar las variables originales.

Es probable que el identificador de sesión sea una de las variables cifradas en ese hash md5, ya que si el que originalmente se logueó, el
dueño de la cuenta, o el que posteriormente accedió cierra la sesión, no podremos seguir entrando con ese enlace.

Por lo menos, cada vez que se inicia sesión el hash varía.