sábado, septiembre 03, 2016

El soporte de #Grindr "leakea" e-mails de usuarios

Las técnicas de doxing se utilizan para desenmascarar usuarios detrás de perfiles anónimos u ocultos en redes sociales, pero también para localizar a personas a través de diferentes redes sociales. Los especialistas en estas disciplinas son expertos en detalles que se pueden conseguir de las cuentas utilizando todas las APIs y funcionalidades que ofrezca el servicio. Desde usar las técnicas de búsqueda avanzada dentro de un servicio como Facebook, hasta las famosas opciones de recuperación de contraseña que te pueden permitir saber qué cuenta está detrás de un número de teléfono.

Figura 1: El soporte de Grindr "leakea" e-mails de usuarios

En el caso de los servicios en los que sus usuarios pueden sufrir algún tipo de perjuicio por que se conozca que son clientes del mismo, esto puede ser especialmente más delicado. Ya vimos como en el caso de las filtraciones de Ashley Madison llevaron hasta el suicido de personas cuando se vieron expuestos públicamente, pero ya anteriormente habíamos visto que la web "leakeaba" los nombres de los usuarios que se han dado de alta en la red.

Doxing en Grindr Support

Jugando con estas técnicas, llegué a la web de Grindr, un servicio en la red para establecer contactos adultos en el mundo gay. En su página web tienen dado de alta un servicio de soporte al que puedes acceder si has contactado previamente con ellos. Es decir, si algún usuario ha enviado alguna consulta desde tu cuenta de e-mail y se ha producido una interacción con ellos, se crea automáticamente un usuario en el sistema de soporte de Grindr.

Figura 2: Cuentas creadas si has enviado un e-mail a soporte

Como ellos dicen en su web, probablemente no lo sepan los usuarios, pero tienen la cuenta creada y pueden pedir la contraseña en cualquier momento, lo que provocará que se envíe un e-mail a la cuenta de correo con la que se produjo la interacción.

Figura 3: Si la cuenta asociada a ese e-mail no existe da un error

El problema, como en muchos otros sistemas, es que si al recuperar la contraseña se pone una dirección de e-mail que no está dada de alta en la plataforma de Grindr Support, se recibe un mensaje de error que indica que no se ha encontrado esa dirección de correo electrónico.

Figura 4: Se introduce una dirección de e-mail que existe

Por el contrario, si se pone una cuenta que sí que está dada de alta - yo probé con admin@grindr.com -, automáticamente se envía un mensaje de recuperación al destinatario, dejando claro que esa cuenta sí que está dada de alta en el sistema.

Figura 5: El usuario existe y se le ha enviado un e-mail para recuperar la cuenta

Es un pequeño leak de información, pero permite saber qué direcciones de correo electrónico están dadas de alta en esta plataforma. Si estás dado de alta en esta red y deseas mantener tu privacidad sobre ello, tal vez deberías revisar a ver si a través de este servicio de Grindr Support queda filtrada tu dirección a cualquiera que pregunte.

Saludos Malignos!

PD: Viendo el sistema de dar de alta cuentas basado en que los usuarios se pusieron en contacto con ellos, la pregunta es si un e-mail spoofing haría que se le creara una cuenta automáticamente a cualquier dirección de correo electrónico.

5 comentarios:

Unknown dijo...

Impresionante la información que se puede llegar conseguir solo de observar los mensajes de error de diferentes programas y aplicaciones. Un aspecto de la seguridad que hasta las más grandes empresas descuidan. Curioso.

isabelfuentesbueso dijo...

Magnifico!

sW dijo...

Si, es cierto, pero aún hay otra técnica interesante muy similar. La web https://haveibeenpwned.com/ comprueba si cierto correo electrónico está/estuvo comprometido con robos de identidades/cuentas. Puede ser indiferente si esa cuenta fue comprometida con Adobe, o myspace, pero, es mas interesante cuando sale Ashley Madison, Badoo, Brazzers, Youporn, etc (la lista es grande https://haveibeenpwned.com/PwnedWebsites)

Unknown dijo...

Me jaquiaron por denunciar a menores de edad nunca surpase anadien



Unknown dijo...

Y después me jaquiaron grinder

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares