De grootste internetprovider van Mexico heeft de e-mailaccounts van duizenden abonnees door Google laten indexeren, waardoor kwaadwillenden eenvoudig toegang tot e-mails, wachtwoorden en andere informatie konden krijgen. Het beveiligingsprobleem ontstond door een applicatiefout en een server misconfiguratie voor een specifiek maildomein.

Het probleem speelde bij Prodigy (Telmex), met een geschat marktaandeel van 92% veruit de grootste provider in Mexico. De ISP gebruikt een applicatie die voor Prodigyklanten zowel als mobiele e-mailapplicatie als webmailapplicatie fungeert. Volgens beveiligingsbedrijf Tripwire is van alle klanten die op webmail of de wapmailapplicatie zijn ingelogd het e-mailaccount gecompromitteerd.

Authenticatie

De applicatie gebruikte namelijk geen goede authenticatie. Zodra een klant was ingelogd op zijn e-mailaccount, volstond alleen een URL met klant-ID om toegang te krijgen. Er was geen verdere authenticatie vereist voor gebruikers op dat systeem. Ook was er geen sessie timeout.

Het probleem werd nog vergroot doordat de URL's om toegang tot het gebruikersaccount te krijgen door Google waren geïndexeerd. Mogelijk door het aanmaken van een Google sitemap, die regelmatig naar Google werd gestuurd en er waarschijnlijk voor heeft gezorgd dat individuele e-mailberichten werden geïndexeerd.

Tripwire ontdekte drieduizend zoekpagina's die waren geïndexeerd en inmiddels door Google zijn verwijderd. Het beveiligingsprobleem speelde waarschijnlijk al sinds maart 2010 en is inmiddels opgelost.

Inloggen

Klanten krijgen het advies om hun wachtwoord te wijzigen. Toch zijn de beveiligingsproblemen niet voorbij. Tijdens een scan werden verouderde versies van Apache en PHP op de mailserver van de provider ontdekt, die bij elkaar 78 lekken bevatten, waarvan 15 ernstig. Daarnaast gebruikt de ISP geen SSL voor gebruikers die willen inloggen, wat betekent dat iemand die via een openbaar draadloos netwerk inlogt het risico loopt dat zijn wachtwoord wordt gestolen.