Repetir contraseña, repetir información personal, repetir la dirección de correo electrónico, pero sobre todo repetir el nombre del usuario (o login) es una de las cosas más comunes en la gestión de identidades personales que la gente hace en Internet. Esto es bueno para establecer una marca personal en la red, pero también para que se puedan localizar fácilmente las identidades de una persona a lo largo de múltiples sitios de Internet.
Esto es especialmente importante cuando alguien está pensando en realizar un ataque dirigido contra una organización de la que se ha sido capaz de sacar una lista de los empleados objetivos. ¿Por qué no atacarle por alguna de sus cuentas o identidades online?
Ahí se podrían utilizar, por ejemplo, las contraseñas que salen filtradas en los grandes dumpeos de identidades de Internet, que tiene en su base de datos Have I Beem Pwned? Es más, no solo es más que probable que haya alguna identidad con la misma contraseña, sino que además es más que probable que ni se acuerde de esas cuentas que se creo, así que se puede encontrar cualquier pedazo de información más que útil en ellas.
Figura 1: Dumpeos de bases de datos de identidades en Have I been Pwnd? |
Para localizar esas otras cuentas uno se puede volver loco. La gente se saca cuentas en sitios insospechados que pueden ir desde un foro de un blog, a un club temático sobre alguna de las aficiones del objetivo. Es una tarea ardua que los especialistas en doxing se dedican a automatizar en lo posible y a cuidar en detalle.
Los trucos para buscar esas cuentas son diversos. Pueden ir desde con el correo del objetivo buscar un leak de información en el sistema de registro de nueva cuenta de un sitio - como contaron en Security By Default con Ashley Madison -, o en el de recuperación de contraseña, o en cualquier otro lugar. Por eso es importante no usar nunca correos electrónicos de la empresa en la creación de cuentas de servicios de Internet.
Figura 2: El servicio de recuperación de contraseñas de menéame te dice si tiene cuenta o no |
A veces es tan sencillo como simplemente buscar la URL con el nombre del usuario, algo que utilizan muchos sitios web en la red, así que no sería nada difícil saber donde se han creado esas cuentas. Una web que permite localizar un nombre de usuario en una lista de 300 sitios es Check Usernames, que utiliza estos pequeños leaks de información para localizar los perfiles de un usuario en los distintos lugares de la red.
Figura 3: Check Usernames te lleva a los perfiles de un determinado nombre de usuario |
En el mundo del social media, se hace justo para lo contrario, los responsables de marca buscan reservarse los usuarios de la imagen corporativa, y los BlackSEO robarle las cuentas a la competencia. Por supuesto, también se buscan usuarios de sitios que en el futuro puedan ser de utilidad, como los nombres de usuario que puedan usarse para engaños, como support, help, admin, root, etcétera, o los de nombres muy significativos que puedan valer mucho dinero en el futuro, como sex o los nombres de usuarios en Twitter cortos que tan valiosos se han vuelto.
Figura 4: Sitos con el usuario Viagra creado y sitios con él disponible |
Si tienes un nombre de usuario, que haya aparecido en un correo electrónico, en una cuenta de una web, o en el metadato de un fichero ofimático, localizar cuentas con ese nombre de usuario en otros servicios de Internet puede ser una buena idea para ver qué sale.
Saludos Malignos!
Interesante, la verdad que sobre el echo de repetir nombre en las direcciones de correo electrónico no avía caído en la cuenta de las consecuencias hasta lo de Google en su día, que sigue igual por cierto, pero vaya..
ResponderEliminarel caso es que sera entretenido probar a ver que sale XD
Salu2!
Gracias chema por tus interesantes artículos :)
ResponderEliminar