Es antiguo, pero siempre interesante:
via kriptopolis.
Por Bruce Schneier
Una característica muy común de los sitios web protegidos por contraseña es la posibilidad de solicitar que la contraseña le sea remitida a uno por correo electrónico. La idea es sencilla: la gente olvida sus contraseñas y necesita que se las recuerden.
Puede asumirse que la dirección de correo electrónico de la gente es segura, por lo que parece razonable enviarles sus contraseñas por esa vía (se podría argumentar sobre el riesgo de enviar las contraseñas sin cifrar, pero no es el fisgoneo el tipo de ataque que nos interesa ahora). Existe un inteligente modo de ataque que explota esta funcionalidad...
Paso 1: Comprar un dominio que ha expirado. Paso 2: Observar todo el spam que llega para averiguar qué cuentas mantenía activas el anterior titular del dominio. Paso3: Ir a un sitio web basado en la apertura de cuentas eBay, Amazon, etc. y pedir que la contraseña sea enviada a esas cuentas. Si la gente con esas cuentas no se molestó en cambiar sus direcciones de correo-e cuando expiró el dominio, se pueden recopilar sus contraseñas.
Alguien probó con un dominio expirado en cuentas de e-Bay y observó que de haber querido podría haberse hecho con unas cuantas contraseñas. Moraleja: cuando se desactiva una dirección de correo-e, todo lo que estaba asociado a esa dirección debería ser también desactivado.
* http://www.auctionbytes.com/cab/abn/y03/m05/i15/s01
graciasm por ayudarme
eeeh ¿podrías contarnos en que modo te fue útil esta información?