Yahoo intenta reducir las preocupaciones respecto a su reciclaje de cuentas de e-mail

Yahoo intenta reducir las preocupaciones respecto a su reciclaje de cuentas de e-mail

Atacantes podrían aprovechar la oportunidad para resetear contraseñas de cuentas asociadas a e-mails antiguos de Yahoo.

Yahoo anunció recientemente que reciclará todas las cuentas de correo inactivas hace más de un año, para que puedas tener el nombre de usuario que siempre quisiste. Así en lugar de ser Juan93582@yahoo, puedas ser simplemente juan@yahoo.com. Sin embargo, este plan tiene una falencia de seguridad, apuntada por el periodista Mat Honan de Wired, quien el año pasado sufrió un gran hackeo a sus cuentas.

Honan advierte que esta medida de Yahoo permitiría a atacantes hacerse dueños de cuentas viejas que algún otro usuario haya estado utilizando como cuenta de respaldo. Así, el atacante puede solicitar resetear la contraseña de la cuenta primaria a través de este respaldo.

Yahoo aseguró que la mayoría de las cuentas inactivas no tienen una cuenta de correo asociadas, y afirmó que está tomando una serie de pasos para asegurar que este peligro no se concrete. La empresa establecerá un periodo de 30 días desde el momento en que la cuenta se desactiva, antes de reciclarla. Durante ese periodo, los correos recibidos en la cuenta recibirán una respuesta afirmando que ese e-mail ya no existe. Yahoo también afirmó que desuscribirá a las cuentas inactivas de correos comerciales, como newsletters y alertas, y notificará a todos los sitios asociados a la cuenta de que ese e-mail será reciclado.

De este modo, los proveedores de servicios también deberán hacerse responsables de evitar que los datos de Yahoo sean utilizados maliciosamente. “¿Puedo afirmar con 100% seguridad que es absolutamente imposible que algo suceda? No. Pero estamos dando extraordinarios pasos para asegurar que nada malo le ocurra a nuestros usuarios”, dijo el director de Yahoo Dylan Casey a Reuters.

Links:
Yahoo’s very bad idea to release e-mail addresses (Wired)
Yahoo rejects fears hackers will exploit old user IDs (Reuters)