(Tu) MetaShield Clean-Up Online: Descubre qué datos exponen tus documentos

Uno de los proyectos que hemos comenzando este años a cuidar desde Tu.com es MetaShield Protector. La familia MetaShield Protector ayuda a las empresas y particulares a evitar las fugas de información de la compañía por medio de la limpieza de los metadatos, la información oculta y los datos perdidos. Mucho he hablado de esto durante años en este blog y en muchas conferencias.

Figura 1: (Tu) MetaShield Clean-Up Online.

Descubre qué datos exponen tus documentos

Para los nuevos - y para los no tan nuevos - quería hacer este artículo para informaros que tenéis el servicio de MetaShield Clean-Up Online disponible en la nueva URL, que es: https://metashieldclean-up.tu.com, donde lo podéis utilizar gratis para saber qué datos filtran tus documentos ofimáticos, tus fotografías, o los archivos que compartes en general con personas a través del correo electrónico, o con todo el mundo a través de la publicación de los mismos en la web.

Figura 2: Tu Metashield Clean-UP Online

Para que veáis cómo funciona este servicio, he buscado un fichero Excel que he recibido recientemente y lo he subido para analizar.

Figura 3: Análisis de Metadatos, Información Ocult y Datos Perdidos

de un documento Excel con MetaShield CleanUP Online

En él podéis ver cómo hay un montón de información, como por ejemplo el nombre del usuario del sistema que creó dicho archivo.

Figura 4: Nombre de usuario y tipo de documento

También aparece información de la compañía que licenció la versión de Excel con la que se creó este documento, lo que es bastante curioso y puede dar más información de la necesaria.

Figura 5: Compañía que ha licenciado el software

Otro de los datos es quién modificó el documento, que es otro usuario de la compañía diferente a quién lo creó, lo que nos da un historial de edición del archivo, y dos nombres de usuarios de dicha compañía, sólo con haber recibido un documento Excel.

Figura 6: Usuario que modificó el Excel

Pero la información que aparece no se queda ahí, y podemos descubrir marcas y modelos de impresoras, así como versiones de software.

Figura 7: Impresora configurada y versión de Excel utilizada.

Ya he hablado mucho de la importancia de esta información que muchas veces las empresas entregan sin ningún cuidado, y cómo una compañía que comparte decanas, o centenares de documentos al día, está filtrando mucha información de la estructura de red y de seguridad de la empresa.

Figura 8: Contacta para conseguir más información

de los productos Metashield Protector.

En Tu Metashield tenemos además soluciones para aplicar en el correo electrónico de Office 365, en la gestión en los servidores web, e incluso para utilizar vía API en tus propias aplicaciones de gestión documental, así que si quieres ver posibilidades de colaboración, o quieres usar nuestros servicios, puedes contactar con nosotros.

Figura 9: Metadatos y Esquema Nacional de Seguridad

Todas estas herramientas, son fundamentales para implementar una Política de Seguridad de Metadatos para cumplir al Esquema Nacional de Seguridad, marcado por el CCN-CERT nacional en España, y para política similares a lo largo del mundo entero.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Codename: "Leak GuardIAn" para evitar filtraciones a ChatGPT

Uno de los proyectos de Ideas Locas que hicimos internamente en Telefónica Innovación Digital tiene que ver con la idea de controlar, cuando ChatGPT se hizo muy popular entre todos los empleados de las empresas, los datos que las personas enviaban al servicio, para que no se filtrasen datos privados de la compañía, o de personas que pudieran ser un riesgo de privacidad en el futuro.

Figura 1: Codename: "Leak GuardIAn" para evitar filtraciones a ChatGPT

Para ello, el utilizando la misma idea de tener un Plugin en el Navegador que interceptara las peticiones del dominio ChatGPT, creamos un servicio que analizaba el contenido del texto que se iba a enviar al LLM para ver si había algún dato que se quería monitorizar, bloquear o eliminar.

Figura 2: Estructura del funcionamiento de LeakGuadIAN

La idea era muy sencilla, y se puede aplicar a cualquier dominio. Se captura la petición, se envía a un backend controlado, se le pasan las reglas - que pueden ser incluso reglas hechas con SLM/LLM en backend o en frontend -, y se toma una acción.

Figura 3: Análisis de texto de LeakGuardIAn para localizar Nombres

Así, en los tres ejemplos que tenéis aquí podéis ver cómo se analiza el texto de las entradas para poder decidir si hay posible texto sensitivo, que es el que tenéis marcado en la imagen anterior como Nombres, en este caso de Localizaciones (Morado), Personas (Rosa) y Organizaciones (Verde).

Figura 4: Enmascaramiento de Nombres

En la imagen anterior LeakGuardIAn ha aplicado el borrado de Nombres de todo el texto para dejarlo totalmente anonimizado, que es la política que se ha aplicado a LeakGuardIAn en ese ejemplo concreto.

Figura 5: Reescritura del texto sin nombres

En la imagen anterior, se puede ver cómo el texto ha sido re-escrito sin poner ningún nombre propio en el contenido que se va a enviar a ChatGPT, que es lo que hace LeakGuardIAn. Solo revisar lo que se envía. Todo esto se define en un política que se configura en una consola de administración donde se configuran todas las reglas de detección y sus políticas de gestión de la información.

Figura 6: Creando las políticas para LeakGuardIAn

Se puede marcar para enmascarar (con asteriscos), eliminar, o directamente bloquear la petición a ChatGPT si es algo que no se desea que se envíe. Todos los prompts que se analizan y hacen saltar una regla quedan recogidos en la consola para poder analizarlos.

Figura 7: Reglas en la [K]onsole de LeakGuardIAn

En el siguiente vídeo podéis ver cómo se crea una regla para el dominio de ChatGPT, se hace una petición que se ve afectada por ella, y LeakGuardIAn le quita los datos personales. 

Figura 8: LeakGuardIAn borrando datos sensibles

En este otro, lo mismo, pero con un bloqueo de la petición, con lo que no se puede realizar ese envío de datos a ChatGPT, porque la política de gestión de la información lo prohibe.

Figura 8: LeakGuardIAn bloqueando el envío datos sensibles

Este proyecto fue solo una PoC para evaluar qué herramientas o política de gestión de la información podíamos utilizar ante la posible amenaza de filtración de información enviando datos a ChatGPT, algo que puede pasar en cualquier otro dominio, en WhatsApp, Google o vete tú a saber qué sitio, pero desde luego si son equipos corporativos puede ser una buena fuente de monitorización del comportamiento de los empleados siguiendo o no las políticas corporativas.

Figura 9: Libro de Machine Learning aplicado a Ciberseguridad de

Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Este proyecto lo conté dentro de la charla de la RootedCON 2024, como uno de los que hemos estado haciendo en el área de Ideas Locas, jugando con IA, con Machine Learning y con las tecnologías web, de lo que os hablaré en un post resumen. Pero para los que queráis hacer alguna prueba similar a este proyecto, hemos utilizado ReactJS, TransformersJS y Model Distlibert Base Multilingual Cased Name Entity Recognition de HuggingFace para hacer el análisis y detección de las filtraciones de nombres en la PoC.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Los Data Brokers te venden baratos datos sensibles de los militares americanos

El modelo de negocio de los llamados Data Brokers es algo muy activo en los Estados Unidos, donde la regulación no es tan estricta como el GDPR que tenemos nosotros en Europa. Yo lo sufro en primera persona porque hay empresas que se dedican a vender números de teléfono y direcciones de correo de todo tipo de perfiles, incluidos los ejecutivos de compañías para hacer campañas de venta. Pero como vamos a ver en este informe, datos mucho más allá de los simples datos de contacto.

Figura 1: Los Data Brokers te venden baratos datos sensibles de los militares americanos

No es casual que yo solo utilice MyPublicInbox como forma de contactar conmigo si no nos conocemos, y que no conteste ninguna llamada, ni devuelva ningún mensaje que venga de quién no esté en mi circulo cercano. Es la única forma de proteger mi tiempo para poder sacar a tiempo mis proyectos.

Figura 2: You are Where You Are

Pero es que la venta de datos va más allá de los datos de contacto en el mundo de los grandes Data Brokers, donde se comercializan toda clase de datos, médicos, socioeconómicos, políticos, de actividad, e insights generados. Y a precios bastante ridículos. Yo hablé de la importancia de todos estos datos en una charla que di en el año 2016 en un evento organizado por mis amigos de Repsol, que decía "You are where you are", donde única y exclusivamente hablaba de la localización, pero ya es más que "crappy".

Comprando datos para comprometer la seguridad nacional

La compra/venta de los datos se ha convertido en una poderosa arma, que utilizada políticamente de forma masiva dio lugar al escándalo de Cambridge Analytica, donde se utilizaron políticamente para ayudar a desequilibrar la balanza hacia un lado un otro en múltiples votaciones. Hechos que abrieron temporalmente los ojos del mundo, pero que parecen ya de otros tiempos, cuando la realidad es que esto sigue siendo el día a día.

Figura 3: Data Brokers and the sale of data on U.S Military Personnel

En un estudio que se ha publicado este mes, titulado "Data Brokers and the sale of data on U.S Military Personnel" se explica cómo de sencillo es para cualquiera conseguir datos sensibles del personal militar americano aun cómodo precio de 12 céntimos de dólar por registro, lo que puede dejar a un potencial adversario información de inteligencia sobre el personal militar de EEUU a un módico precio. Nada de los grandes maletines con millones y millones de dólares en billetes que veíamos en las películas.

Figura 3: Data Brokers contactados para comprar datos y respuestas recibidas.

Todo mucho más rápido, sin saltar por montañas, robar microchip, o archivos de inteligencia en bases secretas donde para entrar había que explotar bombas e infiltrar un comando militar encubierto. No, solo con llamar por teléfono a un Data Broker, pedir precios, tipo de información que venden, pagar y listo. 

Figura 4: Tabla de precios para datos militares del Data Broker 6

Y como he dicho antes, no se trata sólo de datos de contactos, sino que tienen insights que pueden llegar a ser de lo más sensibles, como podéis ver en el "menú de compra de datos" de uno de los Data Brokers. Es decir, información detallada hasta para saber quién va al casino o le gustan los juegos de azar.

Figura 5: Menú de compra de datos de personal militar en un Data Broker

Como os podéis imaginar, esta información es perfecta para hacer APTs preparados contra personal militar que pueda tener un impacto mayor contra alguna organización del ejercito de los EEUU. Desde luego, si eres una organización que tiene adversarios que este tipo de datos se consiga tan fácilmente no es lo que quieres. 

Figura 6: Datos conseguidos usando dominios de USA

En la tabla anterior se pueden ver qué tipos de datos de fueron capaces de comprar utilizando dominios de correo electrónico para las comunicaciones ubicados en USA y en la de abajo, los datos que consiguieron usando dominios de ASIA. En ambos casos, datos muy sensibles.

Figura 7: Datos conseguidos usando dominios .ASIA

En todos los casos, datos muy sensibles de personal que trabaja en una organización tan importante para la seguridad nacional como el militar, del que llegaron a conseguir datos de alergias médicas, tal vez conseguidas de restaurantes, hoteles y clínicas por los Data Brokers.

Figura 8: Datos de enfermedades conseguidos en los Data Brokers

Está claro que los datos son un negocio, pero estos ejercicios demuestran que es necesario controlarlos, porque estamos haciendo que sea muy fácil que lleguen a manos de cualquiera. Leer esto, me ha recordado el cuento que cree de "You Leak it!" donde una empresa compra los datos que un ex-empleado puede vender de su empresa nada más ser despedido, pero a lo bestia.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Transferencia de archivos privados con Tranxfer y marcados contra filtraciones con Shaadow.io

Los equipos de Shaadow.io y Tranxfer nos hemos unido para darnos una solución frente a un problema diario. Una pandemia, un mundo globalizado y la constante digitalización de las empresas, son las motivaciones detrás esta alianza. Los canales digitales han abierto la puerta a un nuevo modelo de comunicación, más rápido y eficiente, y se ha multiplicado el intercambio de información, y el envío de documentos entre empleados y entre empresas.

Figura 1: Transferencia de archivos privados con Tranxfer

y marcados contra filtraciones con Shaadow.io

Cómo consecuencia de esta masificación de envíos, se pierde mucho del control que tienen las empresas cuando estos archivos se comparten en la red y el entorno de trabajo de los empleados, y pasan a enviarse vía plataformas de transferencia de documentos públicos a través de Internet. 

Shaadow.io

Fue para resolver dicha problemática, por lo que nació “Shaadow.io”, que identifica el origen de un documento que aparece filtrado en la red. Tienes en este blog publicados algunos artículos sobre Shaadow.io que ayudan a explicar bien cómo se puede utilizar esta tecnología para proteger la información.

• Protección del Secreto Empresarial con Shaadow.io
• Shaadow.io: Encuentra al miembro de tu equipo que filtra la información
• Cómo poner una marca oculta Shaadow.io a los documentos IMPRESOS que entregas para saber quién lo filtró
• Cómo poner una marca oculta Shaadow.io a la documentación que te piden las empresas para saber quién no la protegió bien

Shaadow.io crea marcas invisibles al ojo humano y las inserta en los documentos, generando copias únicas para cada usuario. Estas marcas permiten, en caso de detectar una filtración de información, a quién pertenece este documento.

Figura 2: Localiza al leaker que filtra los documentos confidenciales de tu empresa

El vídeo anterior es una situación en la que una empresa o un ejecutivo se puede encontrar constantemente, pero es que estas marcas han ayudado a compañías a lograr defender sus activos legalmente y ganar juicios millonarios, como la marca que que puso ATARI en su juego CENTIPEDE que le ayudó a ganar la contienda legal.

Tranxfer

Por su lado, Tranxfer es una solución B2B para el envío de documentos a través de Internet entre personas, en un entorno privado y seguro. Los administradores de la compañía tienen control sobre qué documento se envía, quién lo envía, a donde lo envía, quién y desde dónde lo ha descargado, cuántas veces y durante cuánto tiempo está disponible.

Figura 3: Transferencia de ficheros cifrados y controlados con Tranxfer

Una solución que evita que la información de tu compañía esté colgada en URLs públicas en plataformas de transferencia de archivos gratuitas en Internet, que hace que el control de la información que tienes en tu empresa sea nulo.

Tranxfer + Shaadow.io

Volviendo al contexto actual, con el elevado número de ciberataques que ocurren día tras día no para de crecer, y las filtraciones de documentos de empresas están cada día llenando los titulaares de las noticias, hemos decidido acordar la integración de Shaadow.io en la plataforma “Tranxfer”, dónde desde ahora también se pueden marcar los documentos con la marca invisible y localizar las fugas de documentos de tu compañía.

Figura 4: Tranxfer y Shaadow.io se han integrado para el control de la información enviada

Ahora enviar archivos seguros y marcarlos para detectar posibles fugas de información es más fácil e intuitivo. Solo tienes que acceder al panel principal de Tranxfer, e introduce los destinatarios, el asunto y el mensaje del correo electrónico, en la parte izquierda del interfaz.

Figura 5: Panel principal de Tranxfer

Una vez hecho esto, solo queda subir el documento al espacio destinado para ello en la parte derecha de la pantalla, y activar la marca invisible de Shaadow.io, tal y como ves en la imagen siguiente, pulsando en el icono de la huella dactilar.

Figura 6: Activación de Shaadow.io en Tranxfer

Hecho esto, ya se puede enviar la transferencia pulsando sobre el botón de “Enviar de forma segura” y le llegará una notificación por correo electrónico a todos los destinatarios. Los usuarios, cómo emisores, podrán acceder a la trazabilidad de la transferencia y ver todos los movimientos que están haciendo los destinatarios.

Figura 4: Resultado de la extracción de la marca Shaadow.io

En caso de que el documento apareciera filtrado, sólo con hacer una foto de éste y hacer la extracción de la marca tanto desde la plataforma Shaadow.io como también desde Tranxfer, podremos extraer la marca oculta y saber quién es el responsable de entre los destinatarios a los que se le envió la transferencia de este documento.
aaa

Figura 5: Transferencia de archivos privados con Tranxfery marcados contra filtraciones con Shaadow.io

Puedes ver en este vídeo cómo funciona el proceso completo y paso a paso del  marcado de archivos con la tecnología Shaadow.io en Tranxfer. Y si quieres integrar Shaadow.io en tu plataforma, o en tus procesos de control de información, en proyectos DLP, GDPR, o detección de fugas de datos o enemigos internos, no dudes en ponerte en contacto con nosotros. Escríbeme, y yo te ayudo con el proceso completo.

Un saludo,

Autor: Isabel Hernández Ruiz, CEO de Shaadow.io

Contactar con Isabel Hernández Ruiz 

WhatsApp dará control al usuario sobre el "leak" de "Online" pero le quedan más "leaks" que arreglar #WhatsApp

WhatsApp es una plataforma de comunicación importantísima a nivel mundial en la vida de muchas personas. Y, como hemos ido viendo a lo largo del tiempo, tiene una serie de "Leaks" o "Fuga de información" que se pueden "Weaponizar" o "Automatizar como ataque" que conviertan ese "Leak"  problema de seguridad, o un "Bug" que debe ser subsanado.  De todos esos "Leaks", "Weaponizations" y "Bugs" hablé largo y tendido en el artículo de hace unas semanas llamado "(Web)ScrAPIficar & Weaponizar WhatsApp".

Figura 1: WhatsApp dará control al usuario sobre el "leak" de

"Online" pero le quedan más "leaks" que arreglar #WhatsApp

Un de ellos es el "Leak de Online", que como vimos en la PoC que hicimos servía para explicar "Cómo vigilar 24 horas al día un contacto de WhatsApp". Tan simple como aprovechar que WhatsApp te avisa de si un usuario está Online o no lo está, lo que permite hacer una tabla con todos sus horarios. Ahora WhatsApp va a dar control al usuario para evitar esta vigilancia, lo que está genial.

Figura 2: Monitorización constante de contactos para hacer un

Time-Line de conexiones de un contacto entre Online y Last-Seen.

Esto, que nosotros hicimos como PoC y no pusimos para disposición pública, se podía hacer incluso con servicios en la Web que cobran por ello. Es decir, que te dejan introducir un número de teléfono y vigilar a una persona. Y como esto se ha "Weaponizado", entonces WhatsApp ha decidido corregirlo y dar al usuario el control total de ese campo, para evitar estas situaciones en el futuro.

Figura 3: WhatsApp permitirá controlar quién puede ver si estás Online

Pero no son los únicos "Leaks" que pueden ser "Weaponizados" aún, y no serán los últimos, así que el equipo de WhatsApp tendrá que ir arreglando los que aún le quedan en la lista, y de los que he hablado muchas veces en mis charlas y en mis artículos, como son estos siguientes:

- Compartir el nombre configurado: De igual forma, con cualquier mensaje que se envíe de WhatsApp, siempre, siempre, siempre, va la información de tu usuario. No hay forma humana de evitar esta filtración, que algunos estafadores han utilizado.  Este es un "leak" que WhatsApp debe corregir, porque es muy grave.

Figura 4: Ese número es de Laura Murillo porque

me envió un mensaje sin saber que iba su nombre.

- El "leak" del corrector ortográfico: Realmente es más de iOS que de WhatsApp, pero lo cierto es que escribir en WhatsApp en iPhone mensajes, hace que por defecto comience en mayúscula, mientras que en la versión WhatsApp Web o WhatsApp Desktop no. Un pequeño leak que te la puede jugar. No es de WhatsApp, pero podría hacerse algo para evitarlo.

- El cambio de móvil por las alertas de seguridad: Cuando cambias de terminal móvil, si tu contacto tiene las alertas de seguridad, siempre recibirá una alerta de seguridad que le avisará. Se supone que esta alerta debe ayudarte a evitar los ataques de "me he cambiado de número". Debería poder controlarse mejor ese tipo de alertas o informar de ellas al usuario cuando se emiten.

Estos casos anteriores, son dos ejemplos de "leaks" que no hay forma humana de controlar, pero luego existen otros que sí son controlables por el usuario, pero que en la configuración por defecto vienen de forma insegura, como por ejemplo que todos tus contactos pueden ver tu foto por defecto o ver la última hora de conexión.

Figura 5: Valores de Last-Seen en WhatsApp

A estas configuraciones por defecto, hay que sumar además, las configuraciones que NO deberían existir, como que "Everyone" pueda seleccionarse para ver tu foto de perfil, la información sobre ti, o cuando ha sido la última vez que has estado conectado. Seleccionar "Everybody" no tiene ningún valor positivo para un usuario, y si selecciona estas opciones, lo único que está haciendo es dar información a quién no debe. El único sitio donde puede tener algún sentido es en el uso de estas opciones para los canales de WhatsApp de empresas y compañías, pero para el usuario, no deberían existir nunca.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

- Averiguar la ubicación de una persona por los estados de WhatsApp: Se trata de averiguar desde qué dirección IP - y su geolocalización aproximada - se conecta un contacto tuyo que pulsa en un enlace los Estados de WhatsApp. Se aprovecha de que WhatsApp da la hora exacta a la que un contacto ha visto un estado tuyo. Con que WhatsApp elimine el Time-Stamp del contacto que ha visto el Status como hace con las Stories de Instagram, habrá evitado este "leak".

Figura 7: Si activas las "confirmaciones de lectura de mensajes"

WhatsApp te deja ver un log detallado de a qué hora quién

visitó tu ESTADO, lo que es un buen leak de información valioso.

Esperemos que WhatsApp vaya mejorando poco a poco la privacidad y eliminando los "leaks" que vayan apareciendo.  Para termina, os dejo la charla tal y como la di en OpenExpo Europe, donde hablé de todo esto - un poco más rápido y con un poco menos de detalle - pero en la que vas a poder ver todos los conceptos hilados por mí de una forma más cómoda y rápida.

Figura 8: (Web)ScrAPIficar & Weaponizar WhatsApp.

La charla era solo de 30 minutos, pero espero que os guste u os inspire para hacer alguna cosa curiosa con vuestras herramientas o investigaciones. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

TikTok filtra si tienes cuenta o no con un "Leak de Login" de tu e-mail

Uno de los leaks de los que he hablado muchas veces es el famoso "leak del login",  donde al final para saber si un usuario tiene cuenta o no en una plataforma, el atacante intenta, con el número de teléfono,  dirección de correo electrónico o con el DNI ( o NIF)  como vimos en el último ejemplo, "Recuperar la Contraseña", "Hacer Login", o "Crear directamente la Cuenta".

Figura 1: TikTok filtra si tienes cuenta o no con un "Leak de Login" de tu e-mail

Si la plataforma tiene este leak y es "verbose", en algún momento del proceso de "Hacer Login", "Recuperar la Contraseña" o "Crear la Cuenta", dará un mensaje diferente si el usuario ya existe o si el usuario no existe en la plataforma. Con esta información, sabremos si la persona con ese número de teléfono, con esa dirección de correo electrónico o con ese DNI se ha sacado una cuenta en esa plataforma. Algo que puede ser muy valioso, com o cuento en la charla de "Big Data & AI for Bad Guys".

Figura 2: Big Data & AI for Bad Guys

Así que, para evitarlo, todas las plataformas tienen que evitar ese comportamiento diferente, y hacer que el proceso de la misma información tanto si existe como si no existe esa cuenta, y hacer las diferencias en las comunicaciones que se tengan directamente con ese número de teléfono o esa dirección de e-mail, como expliqué en el artículo de "Cómo evitar fugas de información en el proceso del Login, de Recuperación de Contraseña y de Creación de Cuentas". 

El caso de TikTok con el Leak del Login

Probando con TikTok, me encontré con una curiosidad bastante curiosa. Como muchas otras plataformas, TikTok sufre de este problema de seguridad y privacidad en la "Recuperación de Contraseña", donde si pones una dirección de e-mail te dice si está registrada a una cuenta o no, lo que lo hace un buen candidato para nuestro "Dirty Business Card".

Figura 3: La cuenta de correo electrónico NO está asociada

a ninguna cuenta de TikTok

Probando una cuenta de e-mail no asociada a ninguna cuenta de TikTok vemos el mensaje claro de que la cuenta No existe, pero si damos con una cuenta que sí que está asociada, entonces nos da el Time-Out de 60 segundos para introducir el código de un solo uso para recuperar la contraseña.

Figura 4: La cuenta de correo electrónico SÍ está

asociada a una cuenta de TikTok

Esto es un leak de privacidad que debería evitar TikTok con un proceso similar al que describe el artículo de "Cómo evitar fugas de información en el proceso del Login, de Recuperación de Contraseña y de Creación de Cuentas", haciendo que tanto si la cuenta está asociada como no, de en la web el mismo mensaje de resultado.

Figura 5: Proceso sin leak de información

Lo curioso es que, en el caso del SMS el comportamiento no es "verbose", pero es aún más extraño aún. En este caso, si introducimos un número de teléfono para "Hacer Login" suponiendo que está asociado a una cuenta, la plataforma envía el SMS con el código al número y pone el contador a contar.

Figura 6: El SMS que se envía tanto si tu número existe como si no.

Pero si pones un número de teléfono que NO tiene asociada ninguna cuenta, también da el mismo Time-Out, lo que hace suponer que la cuenta existe. Pero NO existe, y aún así envía al dueño del número de teléfono con un mensaje que al dueño del teléfono le va a extrañar. 

Figura 7: El proceso de Login es como si estuviera registrado.

Esto está bien, porque no es verbose, pero no debería enviar

el SMS a un número que no es cuenta de la plataforma.

Este comportamiento puede ser raro, e incluso ser utilizado en ataques de ingeniería social, haciendo creer a una persona que le han robado el número de teléfono y lo han usado para sacarse una cuenta de TikTok o... imaginación al poder. 

Figura 8: Usa un número que da problemas con las tildes

Además, como veis en la imagen superior, algunas de las pasarelas SMS que utilizan en algunos servidores pueden dar problemas con el UNICODE del mensaje, y salen caracteres extraños, lo que puede preocupar aún más a usuarios y no usuarios.

Figura 9: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Sea como fuere, creo que TikTok, que es una plataforma que me encanta - aunque es verdad que me he tomado un tiempo de relax en la generación de vídeos, tiene que arreglar estos dos comportamientos, que no son correctos ninguno de ellos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)