sábado, septiembre 15, 2018

Redes sociales de contactos íntimos que filtran las cuentas de sus clientes

Probablemente para muchas de las personas que utilizan servicios de contactos online para encontrar parejas de larga o corta duración, la privacidad de que están utilizando dicho servicio sea un plus. Es decir, después de ver como una brecha de seguridad que se llevó todos los datos de Ashely Madison acabó incluso con suicidios, o como los datos de los usuarios de Adult Friend Finder quedaron para la consulta de todo el mundo, lo último que quiere cualquier persona cliente de servicios familiares es que cualquiera pueda saber que se está haciendo uso de ese servicio. Pero por desgracia, no siempre tienen todas las medidas de privacidad que serían deseables.

Figura 1: Redes sociales de contactos íntimos que filtran las cuentas de sus clientes

Hace unos días una persona contaba cómo había hecho uso de un servicio que se llama "Follamigos". Supongo que con el nombre del servicio cualquiera se puede hacer una idea clara de para que es este servicio. No para solteros exigentes, no para encontrar el amor de verdad, es solo para lo que dice el título.

Figura 2: Estructura del fallo del "Leak del Login"

Cuando habló de ese servicio, yo me acordé del caso del Leak del Login que afecta a tantos servicios de ese tipo, incluidos algunos otros como el popular Grindr, y que permite saber si una persona tiene cuenta en allí o no, simplemente intentando crear esa cuenta o intentando recuperar la contraseña. Un leak facilísimo de weaponizar.

Figura 3: Como debería ser la creación y la recuperación de contraseñas

Como se puede ver en la imagen superior si se solicita recuperar una contraseña de una cuenta asociada a una dirección de correo electrónico que no está dada de alta en el servicio, la respuesta que da la web es que esa cuenta no existe.

Figura 4: "Correo electrónico inválido". No existe la cuenta
Totalmente diferente a cuando se prueba una cuenta que sí que existe en el sistema, ya que "Follamigos" informa de que se ha enviado un mensaje de e-mail con la nueva contraseña. Todo muy fácil de explotar. Así que, si te sacas una cuenta en alguno de estos servicios... cuidado con la dirección de e-mail que utilizas, no vaya a ser una que conozcan personas que no quieres que sepan que haces uso de estos servicios.

Figura 5: Cuenta existe y se envía la password por e-mail

Y a los programadores de estos servicios hay que recordarles que un proceso de creación de cuentas y de reseteo de contraseñas sin leakear las cuentas es lo deseable. En este artículo se explica cómo se debe hacer.

Saludos Malignos!

5 comentarios:

  1. Wordpres, Netflix, LinkedIn, Tumblr, Amazon y muchas más webs tampoco implementan un sistema seguro.
    De hecho es justo lo que hace la aplicación EO-ripper para hacer OSINT e identificar las cuentas asociadas a un email.
    Un saludo.

    ResponderEliminar
  2. Amazon si que la tiene, que sea buena o no es discutible, pero yo si que lo tengo activado.
    Para Wordpress se puede utilizar Latch (hay un artículo en esta web).
    LinkedIn lo tiene a través de SMS (a mi tampoco me gusta)
    Tumblr lo debió implementar hace poco por que acabo de comprobarlo y si que tiene

    ResponderEliminar
  3. @dderoman, gracias por el comentario, pero el post no tiene nada que ver con 2FA. Léelo bien }:)

    ResponderEliminar
  4. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  5. Cierto, venía de leer otro artículo y crucé ideas al leer el comentario de @Gorgue de Triana.

    ResponderEliminar