miércoles, diciembre 12, 2018

Tu tarjeta de visita filtra tu Instagram... o viceversa

Hace no mucho que os hable del proyecto de mi equipo de Ideas Locas llamado "Dirty Business Card" en el que intentamos sacar mediante Info-Leaks de servicios de Internet, si una dirección de correo electrónico o un número de teléfono estaba asociado a un determinado servicio. Al final, el leak del que se toma ventaja en las pruebas es el de Crear un cuenta o Recuperar una contraseña en la que se dice al que usa esas opciones si la cuenta existe o no.

Figura 1: Tu tarjeta de visita filtra tu Instagram... o viceversa

El funcionamiento tan básico de este leak lo expliqué en el artículo de "Cómo evitar fugas de información en la creación y recuperación de cuentas en aplicaciones web que pueda usar cualquier Cambridge Analytica" y fundamentalmente se debe evitar tener cualquier comportamiento que pueda permitir a un visitante saber si esa cuenta existe o no en ese servicio.


Figura 2: Dirty Business Card Reader

Para poner algunos ejemplo, ya usé el caso de Grindr y de Follamigos, pero el número de sitios que son vulnerables a este bug es todavía muy alto, por lo que es sencillo a partir de una dirección de correo electrónico o un número de teléfono perfilar a cualquier persona, incluso con detalles que el usuario no desearía que se conocieran.

El caso de Instagram

Uno de los sitios que también tiene ese "leak" es instagram, que filtra si una cuenta existe o no existe en la web de manera muy directa. Por ejemplo, si intentamos recuperar una cuenta con un correo electrónico que no está en el sistema, obtendremos un "User Not Found".

Figura 3: El correo electrónico probado no tiene cuenta en Instagram

Por el contrario, si cualquier intenta recuperar una contraseña de una cuenta que sí existe asociada una dirección de correo electrónico dado, obtendremos un mensaje totalmente distinto que nos deja saber que la cuenta existe.

Figura 4: Sí que existe una cuenta en Instagram asociada a esa dirección de e-mail

Y esta situación se repite de la misma forma con el número de teléfono que está asociado a la cuenta de Instagram, así que con tener cualquier número se puede comprobar si tiene cuenta en esta red social.

Figura 5: Ninguna cuenta de Instagram asociada a ese número de teléfono

Y de nuevo, por el contrario, si existiera una cuenta asociada a ese número de teléfono tenemos una respuesta desde Instagram que nos deja ver a las claras que ese número está asociado a una cuenta de la red social ya que nos informa de que le ha enviado un SMS.

Figura 6: Existe una cuenta asociada a ese número de teléfono

Hasta el momento se consigue con este leak saber si tiene o no cuenta en la red social, pero no qué cuenta en concreto. Para sacar la cuenta, hay que utilizar otros leaks, como probar posibles usernames en función de los datos que se tienen y generar un diccionario para usar la recuperación de contraseña pero probando posibles usernames y viendo si los datos de e-mail que se obtienen encajan con la cuenta que ya se ha obtenido.

Figura 7: Datos parciales de la cuenta de e-mail asociada a un e-mail

Al final, viviendo en los tiempos de Cambridge Analytica, todos estos leaks deberían ser eliminados de las webs, ya que hemos visto que los algoritmos de Inteligencia Artificial que tenemos hoy en día pueden hacer magia en ataques complejos, como los de Fake News de los que hemos hablado tantas veces.

Saludos Malignos!

No hay comentarios:

Publicar un comentario