Falsa seguridad en la web de Party Poker
Como informático que soy siempre me han parecido una barbaridad aquellas salas que para solicitar el acceso a tu cajero o cuenta te piden el usuario y la password desde una página web, léase las de OnGame, algunas de Crypto como Will Hill o, sin ir más lejos, Party Poker.
El motivo de que me parezca una barbaridad es que cualquiera que entienda algo de informática sabe lo sencillo que es realizar un ataque contra este tipo de páginas que solicitan el usuario y la password, ya que se trata de un mero formulario que puede, de una manera relativamente sencilla, ser reventado por un ataque de diccionario o fuerza bruta.
Pues bien, me había parecido muy bien la iniciativa de Party Poker de poner un control de imagen al formulario para evitar precisamente esto, ya que dichos controles de imagenes como sabeis se basan en un texto distorsionado que, en teoría, solo un humano es capaz de interpretar. Bien por Party. Un ejemplo de lo que digo es lo que vemos si intentamos acceder a nuestra cuenta de Party desde cualquier e-mail promocional que nos envíen, como pódéis ver en
esta dirección
https://secure.partyaccount.com/index_code.htm?Target=/bonus/bonus_offers.htm
Pues bien, hoy, por fruto de la casualidad, he descubierto que dicha medida de seguridad es una simple fachada, pues basta con que nos equivoquemos al introducir el usuario o la password para que Party nos redireccione a esta otra dirección
https://secure.partyaccount.com/index.htm?ERROR=TRUE&TYPE=-10
que como podéis comprobar no está protegida por dicho control de imagen y, por lo tanto, puede ser atacada mediante el método mencionado.
¿Seguridad de cara a la galería?
Lamentablemente y como todo el mundo sabe es aún peor la falsa seguridad que la inseguridad, pues crea una confianza que provoca un abandono de las medidas de seguridad más elementales.
P.D.: Simón, no se si esto va aqui o en software, ya tu decides. Gracias.