Un investigador de seguridad ha encontrado varias vulnerabilidades en el popular software de correo electrónico web Horde de código abierto que permite a los piratas informáticos robar de forma casi invisible el contenido de la bandeja de entrada de la víctima.
Horde es uno de los más popular Sistemas de correo electrónico web gratuitos y de código abierto disponibles. Está construido y mantenido por un equipo central de desarrolladores, con contribuciones de la comunidad más amplia de código abierto. Es utilizado por universidades, bibliotecas y muchos proveedores de alojamiento web como el cliente de correo electrónico predeterminado.
Numan Ozdemir revelado sus vulnerabilidades a la Horda en mayo. Un atacante puede raspar y descargar toda la bandeja de entrada de una víctima engañándola para que haga clic en un enlace malicioso en un correo electrónico.
Una vez que se hace clic, la bandeja de entrada se descarga al servidor del atacante.
Pero el investigador no tuvo noticias de la comunidad de la Horda. Los investigadores de seguridad generalmente otorgan a las organizaciones tres meses para corregir fallas antes de que se divulguen públicamente.
NIST, el departamento gubernamental que mantiene la base de datos de vulnerabilidad nacional, dijo esta semana que los defectos plantean una Riesgo de seguridad "alto" a los usuarios
Ozdemir dijo que algunas, aunque no todas, las vulnerabilidades se solucionaron recientemente en la última versión del correo web de Horde. Pero la comunidad de Horde no ha reconocido públicamente la vulnerabilidad, o que los usuarios de versiones anteriores del correo web siguen siendo vulnerables.
"Es realmente muy fácil robar el correo electrónico de las personas", dijo a TechCrunch.
Su informe de error archivado con Horde Permanece abierto en el momento de escribir. Le enviamos correos electrónicos a Horde varias veces, pero no recibimos respuesta hasta después de la publicación. Jan Schneider, desarrollador principal del proyecto, dijo que las vulnerabilidades "de hecho se han solucionado, no se solucionarán o ya no existían en el momento del informe".