Black Hat envía por error a sus asistentes un email de restablecimiento de contraseña
Un voluntario de la conferencia Black Hat USA 2012 habría mandado accidentalmente a 7.500 participantes un correo de restauración de contraseñas. Inicialmente se pensó que sería un intento de phishing.
Los organizadores de la conferencia de seguridad Black Hat, que se celebra estos días en Las Vegas, se han tenido que enfrentar a una de las más comunes brechas de seguridad: la combinación del error humano y el fallo técnico.
Por accidente, uno de los muchos voluntarios que participan en la conferencia envió un mailing masivo a los 7.500 congresistas con un correo de restauración de contraseña. La acción, accidental, se desencadenó al cambiar la configuración de un sistema de plantillas usado para el envío masivo de correos, explica Wolfgang Kandek, CTO de Qualys, que recibió uno de los mensajes. “Pensé que era algún tipo de prueba que Black Hat estaba haciendo”.
La organización envió un comunicado explicando el error, encabezado por una frase de Robert J. Hanlon: “Nunca le atribuyas la maldad lo que puede ser explicado por la estupidez”. Supuestamente, Hanlon envió la cita para una recopilación de chistes sobre la ley de Murphy en 1980.
El director general de Black Hat, Trey Ford, firmó la nota en la que dice que una brecha en el sistema había hecho posible que el voluntario obtuviera los privilegios necesarios para enviar emails masivos. “El correo electrónico de esta mañana se debió a un abuso de funcionalidad por parte de un voluntario con el que ya se ha hablado”, explica Ford.
El correo llevaba como asunto “Su password de administrador” y la dirección de ITN International, la empresa subcontratada por Black Hat para el registro en la conferencia.
No ha habido noticia de participantes en la conferencia que pincharan en el link incluido en el email para cambiar sus contraseñas de la feria. Black Hat afirmó que no se había visto comprometida su base de datos ni información de los asistentes.
Señales obvias de que el email era un error era que no tenía las nuevas credenciales necesarias para cambiar la contraseña original. Además, los participantes de Black Hat, en su mayoría expertos de seguridad, probablemente notaran que el link incluido llevaba a otro site que no era de Black Hat.
Los participantes del Black Hat, y de otras ferias de seguridad como Defcon, suelen gastarse bromas unos a otros y, ocasionalmente, a los organizadores de la feria. Ford también hizo referencia a la posibilidad de tal malicia en su disculpa a aquellos que recibieron el email.
