McAfee olvidó escanear su propio sitio web en busca de vulnerabilidades

McAfee ofrece, entre otros productos de seguridad, un servicio de escaneo online para sitios externos. Sin embargo, el sitio de la propia empresa presenta tres vulnerabilidades, según grupo de hackers éticos.

El autodenominado YGN Ethical Hacker Group, dedicado a fomentar la seguridad informática mediante el hacking positivo o ético, ha revelado tres vulnerabilidades en un sitio propiedad de McAfee. El tema es sin duda bochornoso para McAfee, debido a que habría descuidado la seguridad de su propio sitio, a la vez que ofrece validar la seguridad de sitios externos.

YGN Ethical Hacker Group dice haber informado a McAfee sobre las vulnerabilidades el día 10 de febrero. La supuesta pasividad de McAfee frente al tema llevó al grupo de hackers a revelar la información. La descripción completa está disponible en ésta página.

Según se indica, el sitio download.mcafee.com, propiedad de McAfee sería vulnerable a ataques de tipo cross site scripting, que pueden ser explotados para dirigir a los usuarios a un sitio falso desde donde potencialmente podrían descargar malware en lugar de software de seguridad.

Las vulnerabilidades también permiten acceso a código fuente e información interna de la empresa. En un comunicado, McAfee asegura que las vulnerabilidades bajo ninguna circunstancia han comprometido la seguridad ni datos de sus clientes. La empresa informa además que los agujeros serán parcheados dentro de las próximas horas.

Cabe señalar que las tres vulnerabilidades permanecieron en un nivel de daño potencial; es decir, no fueron activamente explotadas por sus creadores para sabotear las actividades o el sitio de McAfee.

Con todo, el tema podría perjudicar la imagen de McAfee. Los clientes de la empresa pueden solicitar un sello de calidad, con el logotipo de McAfee, que confirma que el sitio ha sido escaneado frente a ”decenas de miles de vulnerabilidades”, controlando que cumple con los altos estándares de seguridad de McAfee. El logotipo de ”McAfee Secure” implica, en otras palabras, que los sitios externos han sido escaneados y declarados limpios de las mismas vulnerabilidades detectadas en el sitio download.mcafee.com.

En 2009, McAfee experimentó un problema similar en su sitio y en 2005 un problema de seguridad en su software antivirus.

Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022