Probablemente muchas de las personas que utilizan servicios de contactos online para encontrar parejas de larga o corta duración, la privacidad de que están utilizando dicho servicio sea un plus. Es decir, después de ver como una brecha de seguridad que se llevó todos los datos de Ashely Madison acabó incluso con suicidios, o como los datos de los usuarios de Adult Friend Finder quedaron para la consulta de todo el mundo, lo último que quiere cualquier persona cliente de servicios familiares es que cualquiera pueda saber que se está haciendo uso de ese servicio. Pero por desgracia, no siempre tienen todas las medidas de privacidad que serían deseables.
Figura 1: Redes sociales de contactos íntimos que filtran las cuentas de sus clientes |
Hace unos días una persona contaba cómo había hecho uso de un servicio que se llama "Follamigos". Supongo que con el nombre del servicio cualquiera se puede hacer una idea clara de para que es este servicio. No para solteros exigentes, no para encontrar el amor de verdad, es solo para lo que dice el título.
Figura 2: Estructura del fallo del "Leak del Login" |
Cuando habló de ese servicio, yo me acordé del caso del Leak del Login que afecta a tantos servicios de ese tipo, incluidos algunos otros como el popular Grindr, y que permite saber si una persona tiene cuenta en allí o no, simplemente intentando crear esa cuenta o intentando recuperar la contraseña. Un leak facilísimo de weaponizar.
Figura 3: Como debería ser la creación y la recuperación de contraseñas |
Como se puede ver en la imagen superior si se solicita recuperar una contraseña de una cuenta asociada a una dirección de correo electrónico que no está dada de alta en el servicio, la respuesta que da la web es que esa cuenta no existe.
Figura 4: "Correo electrónico inválido". No existe la cuenta |
Totalmente diferente a cuando se prueba una cuenta que sí que existe en el sistema, ya que "Follamigos" informa de que se ha enviado un mensaje de e-mail con la nueva contraseña. Todo muy fácil de explotar. Así que, si te sacas una cuenta en alguno de estos servicios... cuidado con la dirección de e-mail que utilizas, no vaya a ser una que conozcan personas que no quieres que sepan que haces uso de estos servicios.
Y a los programadores de estos servicios hay que recordarles que un proceso de creación de cuentas y de reseteo de contraseñas sin leakear las cuentas es lo deseable. En este artículo se explica cómo se debe hacer.
Saludos Malignos!
☛ El artículo completo original de noreply@blogger.com (Chema Alonso) lo puedes ver aquí
No hay comentarios.:
Publicar un comentario