Posteado por:
En Black Hat, uno de los más importantes eventos de seguridad informática, un experto en seguridad sorprendió a todos demostrando en vivo como hackear una cuenta de Gmail. Robert Graham, CEO de la compañía Errata Security, fue el protagonista de uno de los momentos más interesantes en el evento Black Hat. La posibilidad de hackear una cuenta mediante las cookies de una sesión la niegan los proveedores de webmail como Gmail, Hotmail o Yahoo!, pero es real.
La posibilidad de hackear una cuenta mediante las cookies de una sesión la niegan los proveedores de webmail como Gmail, Hotmail o Yahoo!, pero es real.
Graham, lo puso más interesante al hacerlo en vivo mientras filmaban y mostraban en una pantalla gigante su procedimiento. Para obtener las cookies utilizó una herramienta que él mismo desarrolló, llamada Hamster, y procedió a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.
George Ou, un especialista de ZDNet, abrió la cuenta getmehacked@gmail.com y envió un email a varios concurrentes. Graham, mediante su aplicación rastreó las cookies enviadas y recibidas a través de la red wireless del evento.
Graham ingresó a la cuenta y mostró el email recién enviado a la sorprendida multitud. Varios de los asistentes que recibieron el email de Ou, testificaron la veracidad de lo ocurrido, que también fue mostrado en la pantalla gigante.
Graham finalizó enviando un email utilizando la cuenta hackeada. El email tenía el título “I like sheep” (me gustan las ovejas) y lo envió a varios de los presentes, que a los pocos segundos se sorprendían al recibirlo.
Graham afirmó haber podido seguir ingresando a las cuentas hackeadas durante varios días. Pero, para evitar problemas legales, solo entraba a las cuentas de sus conocidos.
Recordemos la famosa exposición de Michael Lynn sobre los routers de Cisco, probablemente Graham publicará Hamster en pocos días, no sería una sorpresa ver hackeos en masa de cuentas de Gmail.
Palabras subrayadas conducen al link correspondiente
Fuente:
http://xkod.com.pe
Opciones
Post Relacionados
- Cómo hackear una máquina de Coca-Colas para llevarte unas
- Logran hackear una Macintosh con OS X en 30 minutos
- Metete en la piel de un Hacker...
- Diablo II Hack
- Robar Datos de los discos Extraibles (USB)!!!
- Hackear contraseñas Windows XP
- Los Cuadernos De Hack X Crack
- Hackear Juegos Flash (Flash Game Hacker 7.5)
- Hackear maquina de coca cola en español
Información del post
#1 -
Filprafa
| 07.08.2007 21:53:01 dijo:
Buen post, por la data y porque respetaste los links.
#2 - rodrigo73 | 07.08.2007 21:53:42 dijo:
toma !
#3 - Pacemaker | 07.08.2007 21:54:40 dijo:
A ver cuánto tarda el primero en decir Pe....
Interesante la info.
#4 - marco- | 07.08.2007 21:57:05 dijo:
yo conozco alguien q lo sabe hacer hace mucho
#5 - superjs | 07.08.2007 21:58:17 dijo:
no estaras hablando de peluchin no?
#6 - german4602 | 07.08.2007 21:58:42 dijo:
Hackear gmail debe ser re facil.. Para el que la tiene re clara, jaa.. te dejo +5 por informarme que mis 80% mails spam estan en peligro. salutess
#7 - egpdlp | 07.08.2007 22:00:43 dijo:
Con el acceso a cookies podes hacer muchas cosas, el tema es como haces para conseguirlas...
Me adhiero a Pacemaker, no hagan el chiste obvio
#8 - aftername | 07.08.2007 22:04:09 dijo:
lu
#9 - juanpenta | 07.08.2007 22:05:25 dijo:
No hay nada que no pueda ser hackeado,que ilusos son los que piensan en sistemas inviolables.
#10 - Filprafa | 07.08.2007 22:08:27 dijo:
chin chaber nada no che puede
#11 - aljuna | 07.08.2007 22:13:22 dijo:
correccion
gmail era muy facil de hackear
ese vagito se lleno de guita minutos dps de hacer la demostracion, cuando los capos de gmail le pagaron para arreglar el bug
muy buena info
#12 - Udyat | 07.08.2007 22:13:41 dijo:
yo de pedo que me acuerdo de mi pass...
#13 - Udyat | 07.08.2007 22:15:58 dijo:
"si... hackeo gmail... pero todavía sigo pagando por sexo (y así y todo no me garantizan ponerla"
#14 - juanpenta | 07.08.2007 22:18:20 dijo:
Bien dicho Udyat , si ese loco no es pajero esta desperdiciando la cara !!!
#15 - Bizarro | 07.08.2007 22:18:49 dijo:
PELUFO !
#16 - del63 | 07.08.2007 22:20:04 dijo:
tanto o más fácil que t!
#17 - narosky | 07.08.2007 22:20:55 dijo:
Miralo al gordito...
#18 - SrMefisto | 07.08.2007 22:48:39 dijo:
Hace unos meses leí que la lista de contactos de Gmail era muy simple de obtener, porque utilizaban JSONP para obtnerla, de ese modo, un script de otro sitio web, podia pedir la lista de contactos haciendo una peticion JSONP a gmail mientras el usuario estuviera logueado. Es decir, si entrabamos a www.taringa.net/paginaloca.html mientras estabamos logueados en gmail, y paginaloca.html tenia un tag de script parecido a este <script src="www.gmail.com?peticion=listacontactos&callback=funcionloca">, y dentro de ese script definian a funcionloca como una funcion que recibia como parametro la lista de contactos y la reenviaba al sitio maligno.
Yahoo tenia una falla similar, pero ya fue arreglada, sin embargo, el live hotmail la sigue teniendo
#19 - juanpenta | 07.08.2007 22:54:04 dijo:
SrMefisto,el link www.taringa.net/paginaloca.html ya no funca tenes alguna imagen ? para ver ?o esta subido en otro lado ?
#20 - marco- | 07.08.2007 22:56:42 dijo:
SrMefisto como decis vos podes hacer muchas cosas más
#21 - SrMefisto | 07.08.2007 22:56:45 dijo:
jajja, juanpenta, ese era un link ficticio
ahora me pongo a buscar la pagina en la que lei lo que te digo
#22 - Nestor666 | 07.08.2007 23:02:19 dijo:
jajajajaja udyat
#23 - SrMefisto | 07.08.2007 23:03:45 dijo:
#24 - SrMefisto | 07.08.2007 23:07:15 dijo:
confien en el home banking nomás, si una empresa tan grosa como google se duerme en estas cosas, imaginen un banco
#25 - cuervoedo | 07.08.2007 23:19:49 dijo:
Concuerdo totalmente, por dioooo, no podés tener tremenda cara de ganzo, ¿Será verdad que esta gente es toda así?
#26 - Pacemaker | 07.08.2007 23:24:03 dijo:
No tiene la notebook de collar, las cintas azul son de la credencial del evento...
#27 - pixxx1 | 07.08.2007 23:24:16 dijo:
juanpenta
dijo: si ese loco no es pajero esta desperdiciando la cara !!! jajajajajajajajajajaja
Convengamos que ninguna empresa manda informacion confidencial por gmail o me equivoco?
#28 - SrMefisto | 07.08.2007 23:24:49 dijo:
Aqui les dejo un articulo interesante que describe la vulnerabilidad que comenté anteriormente: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html
Agenden ese blog, el negro no se cansa de encontrarle agujeros a google, los tiene de hijos
#29 - gonzi99 | 07.08.2007 23:25:44 dijo:
hijo de quien!? termina de decirloo!
#30 - enanofeo2 | 07.08.2007 23:27:34 dijo:
peluche al ataque
#31 - cuervoedo | 07.08.2007 23:28:19 dijo:
Ya se que las cintas azules no son de la computadora, era irónico, pero díganme que no parece que el muy pájaro tiene la computadora de collar (me van a sacar este comentario porque T! no es foro, pero tenía que aclarar algo que pensé que no era necesario, perdón)
#32 - squiel | 07.08.2007 23:35:22 dijo:
de put****
#33 - OverNeT | 07.08.2007 23:44:44 dijo:
si habran visto por ahi un video " hackeando a hotmail por XSS por cookies" el autor soy yo ¤Williams¤ en el video figura mi msn.. pero no es nada de otro mundo. Ya esta parchado el bug.. pero buen, grasias por el post ..habra q buscar ese bug para gmail salu2
#34 - rajachango | 07.08.2007 23:45:48 dijo:
ay ay ay
#35 - ZAK | 08.08.2007 00:04:38 dijo:
se viene se viene ..............INVOCANDO AL PELUCHE
#36 - Klown | 08.08.2007 00:06:11 dijo:
Ja, me hace reir la kara de peluche...
#37 - gastonadr | 08.08.2007 09:32:14 dijo:
jajajaj, se les escapo el titulo del mail "Me gustan las ovejas"..
Con la cara que tiene, cagaron las ovejas
#38 - darkt | 08.08.2007 12:01:05 dijo:
Gordo geek
#39 - darkclik | 08.08.2007 12:06:54 dijo:
jjajjaajjaa, la info es muy buena, el post tambien... pero... los comentarios son excelentessssssss!
#40 - ElZurdo | 08.08.2007 12:21:50 dijo:
Este tipo se cree que inventó algo... seguro peluchin lo hizo antes (mientras aprendia a subir imagenes jaja)
#41 - Kiarov | 08.08.2007 17:42:14 dijo:
.-"Lo use para entrar en la cuenta de mi novia"
Dada la obvia falta de vericidad del comentario, el sujeto fue invitado a abandonar el recinto sin chistar.
(perdon pero queria sentirme importante) Yo no puedo hackear ni mi propia maquina. Me olvido las contraseñas
#42 - superjs | 08.08.2007 23:36:24 dijo:
#43 - tutesk | 21.02.2008 17:12:52 dijo:
a medida que iba bajando y leyendo los comentarios.. me imaginaba la imagen que """photochoteo""" superjs aca arriba jajajjaja
#44 - gazza | 03.04.2008 19:43:48 dijo:
Udyat jajajajajajjaa
hay cosas q el dinero no puede comprar, para todo lo demas ...
#45 - DrunkJack | 03.04.2008 19:45:25 dijo:
tha kaker is back
#46 - allebseadival | 09.06.2008 09:04:04 dijo:
superjs jajajajajajajjajajajajaa
#47 - elhuracancorrentino | 09.06.2008 09:12:34 dijo:
No podía faltar la cara de ese!...
Buen post, por la data y porque respetaste los links.
#2 - rodrigo73 | 07.08.2007 21:53:42 dijo:
toma !
#3 - Pacemaker | 07.08.2007 21:54:40 dijo:
A ver cuánto tarda el primero en decir Pe....
Interesante la info.
#4 - marco- | 07.08.2007 21:57:05 dijo:
yo conozco alguien q lo sabe hacer hace mucho
#5 - superjs | 07.08.2007 21:58:17 dijo:
no estaras hablando de peluchin no?
#6 - german4602 | 07.08.2007 21:58:42 dijo:
Hackear gmail debe ser re facil.. Para el que la tiene re clara, jaa.. te dejo +5 por informarme que mis 80% mails spam estan en peligro. salutess
#7 - egpdlp | 07.08.2007 22:00:43 dijo:
Que vivo, me pregunto como hizo para meter el "Hamster", que sistema de seguridad tenía la computadora de la máquina víctima, etc.Cita :Para obtener las cookies utilizó una herramienta que él mismo desarrolló, llamada Hamster, y procedió a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.
Con el acceso a cookies podes hacer muchas cosas, el tema es como haces para conseguirlas...
Me adhiero a Pacemaker, no hagan el chiste obvio
#8 - aftername | 07.08.2007 22:04:09 dijo:
lu
#9 - juanpenta | 07.08.2007 22:05:25 dijo:
No hay nada que no pueda ser hackeado,que ilusos son los que piensan en sistemas inviolables.#10 - Filprafa | 07.08.2007 22:08:27 dijo:
chin chaber nada no che puede
#11 - aljuna | 07.08.2007 22:13:22 dijo:
correccion
gmail era muy facil de hackear
ese vagito se lleno de guita minutos dps de hacer la demostracion, cuando los capos de gmail le pagaron para arreglar el bug
muy buena info
#12 - Udyat | 07.08.2007 22:13:41 dijo:
yo de pedo que me acuerdo de mi pass...
#13 - Udyat | 07.08.2007 22:15:58 dijo:
"si... hackeo gmail... pero todavía sigo pagando por sexo (y así y todo no me garantizan ponerla"
#14 - juanpenta | 07.08.2007 22:18:20 dijo:
Bien dicho Udyat , si ese loco no es pajero esta desperdiciando la cara !!!
#15 - Bizarro | 07.08.2007 22:18:49 dijo:
PELUFO !
#16 - del63 | 07.08.2007 22:20:04 dijo:
tanto o más fácil que t!
#17 - narosky | 07.08.2007 22:20:55 dijo:
Miralo al gordito...
#18 - SrMefisto | 07.08.2007 22:48:39 dijo:
Hace unos meses leí que la lista de contactos de Gmail era muy simple de obtener, porque utilizaban JSONP para obtnerla, de ese modo, un script de otro sitio web, podia pedir la lista de contactos haciendo una peticion JSONP a gmail mientras el usuario estuviera logueado. Es decir, si entrabamos a www.taringa.net/paginaloca.html mientras estabamos logueados en gmail, y paginaloca.html tenia un tag de script parecido a este <script src="www.gmail.com?peticion=listacontactos&callback=funcionloca">, y dentro de ese script definian a funcionloca como una funcion que recibia como parametro la lista de contactos y la reenviaba al sitio maligno.
Yahoo tenia una falla similar, pero ya fue arreglada, sin embargo, el live hotmail la sigue teniendo
#19 - juanpenta | 07.08.2007 22:54:04 dijo:
SrMefisto,el link www.taringa.net/paginaloca.html ya no funca tenes alguna imagen ? para ver ?o esta subido en otro lado ?
#20 - marco- | 07.08.2007 22:56:42 dijo:
SrMefisto como decis vos podes hacer muchas cosas más
#21 - SrMefisto | 07.08.2007 22:56:45 dijo:
jajja, juanpenta, ese era un link ficticio
ahora me pongo a buscar la pagina en la que lei lo que te digo
#22 - Nestor666 | 07.08.2007 23:02:19 dijo:
jajajajaja udyat
#23 - SrMefisto | 07.08.2007 23:03:45 dijo:
Exacto. Cuando se puso de moda AJAX, enseguida se dieron cuenta de que hacer peticiones a cualquier sitio, desde cualquier script, ponia en peligro la seguridad de las cuentas de usuario, asi que todos los fabricantes de navegadores se pusieron de acuerdo para definir la politica de mismo origen para evitar el cross scripting. Pero fueron un poco olvidadizos, porque con el advenimiento de JSON, y la posibilidad de cargar scripts de manera cruzada, era potencialmente igual de peligroso. Conclusion: La politica de mismo origen de los navegadores no fue suficiente y, para colmo de males, restringio las posibilidades de las aplicaciones AJAX. Si se fijan bien, todos los servicios web que nos ofrecen hoy en dia yahoo y google, estan basados en cross scriptingCita mardigital:SrMefisto como decis vos podes hacer muchas cosas más
#24 - SrMefisto | 07.08.2007 23:07:15 dijo:
confien en el home banking nomás, si una empresa tan grosa como google se duerme en estas cosas, imaginen un banco
#25 - cuervoedo | 07.08.2007 23:19:49 dijo:
Cita :Udyat | 07.08.2007 22:15:58 dijo:
"si... hackeo gmail... pero todavía sigo pagando por sexo (y así y todo no me garantizan ponerla)"
Concuerdo totalmente, por dioooo, no podés tener tremenda cara de ganzo, ¿Será verdad que esta gente es toda así?
#26 - Pacemaker | 07.08.2007 23:24:03 dijo:
No tiene la notebook de collar, las cintas azul son de la credencial del evento...
#27 - pixxx1 | 07.08.2007 23:24:16 dijo:
juanpenta
dijo: si ese loco no es pajero esta desperdiciando la cara !!! jajajajajajajajajajaja
Convengamos que ninguna empresa manda informacion confidencial por gmail
o me equivoco?#28 - SrMefisto | 07.08.2007 23:24:49 dijo:
Aqui les dejo un articulo interesante que describe la vulnerabilidad que comenté anteriormente: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html
Agenden ese blog, el negro no se cansa de encontrarle agujeros a google, los tiene de hijos
#29 - gonzi99 | 07.08.2007 23:25:44 dijo:
Cita :cuervoedo | 07.08.2007 23:21:20 dijo:
Y CON LA COMPUTADORA DE COLLAR!!!!!! Que hijo de p___!!!!
hijo de quien!? termina de decirloo!
#30 - enanofeo2 | 07.08.2007 23:27:34 dijo:
peluche al ataque
#31 - cuervoedo | 07.08.2007 23:28:19 dijo:
Ya se que las cintas azules no son de la computadora, era irónico, pero díganme que no parece que el muy pájaro tiene la computadora de collar (me van a sacar este comentario porque T! no es foro, pero tenía que aclarar algo que pensé que no era necesario, perdón)
#32 - squiel | 07.08.2007 23:35:22 dijo:
de put****
#33 - OverNeT | 07.08.2007 23:44:44 dijo:
si habran visto por ahi un video " hackeando a hotmail por XSS por cookies" el autor soy yo ¤Williams¤ en el video figura mi msn.. pero no es nada de otro mundo. Ya esta parchado el bug.. pero buen, grasias por el post ..habra q buscar ese bug para gmail salu2
#34 - rajachango | 07.08.2007 23:45:48 dijo:
ay ay ay
#35 - ZAK | 08.08.2007 00:04:38 dijo:
se viene se viene ..............INVOCANDO AL PELUCHE
#36 - Klown | 08.08.2007 00:06:11 dijo:
Ja, me hace reir la kara de peluche...
#37 - gastonadr | 08.08.2007 09:32:14 dijo:
jajajaj, se les escapo el titulo del mail "Me gustan las ovejas"..
Con la cara que tiene, cagaron las ovejas
#38 - darkt | 08.08.2007 12:01:05 dijo:
Gordo geek
#39 - darkclik | 08.08.2007 12:06:54 dijo:
jjajjaajjaa, la info es muy buena, el post tambien... pero... los comentarios son excelentessssssss!
#40 - ElZurdo | 08.08.2007 12:21:50 dijo:
Este tipo se cree que inventó algo... seguro peluchin lo hizo antes (mientras aprendia a subir imagenes jaja)
#41 - Kiarov | 08.08.2007 17:42:14 dijo:
.-"Lo use para entrar en la cuenta de mi novia"
Dada la obvia falta de vericidad del comentario, el sujeto fue invitado a abandonar el recinto sin chistar.
(perdon pero queria sentirme importante) Yo no puedo hackear ni mi propia maquina. Me olvido las contraseñas
#42 - superjs | 08.08.2007 23:36:24 dijo:
#43 - tutesk | 21.02.2008 17:12:52 dijo:
a medida que iba bajando y leyendo los comentarios.. me imaginaba la imagen que """photochoteo""" superjs aca arriba jajajjaja
#44 - gazza | 03.04.2008 19:43:48 dijo:
Udyat jajajajajajjaa
hay cosas q el dinero no puede comprar, para todo lo demas ...
#45 - DrunkJack | 03.04.2008 19:45:25 dijo:
tha kaker is back
#46 - allebseadival | 09.06.2008 09:04:04 dijo:
superjs jajajajajajajjajajajajaa
#47 - elhuracancorrentino | 09.06.2008 09:12:34 dijo:
No podía faltar la cara de ese!...
