¿Qué ataques son posibles si puede raspar una lista de usuarios?

Navega tus respuestas
3

¿Ha habido algún ataque (o puedes pensar en un ataque potencial) que dependa de la capacidad de averiguar si un usuario existe en un sistema?

Por ejemplo, en una aplicación web hay una página de "Restablecer contraseña" donde ingresas una dirección de correo electrónico (que actúa como el nombre de inicio de sesión, que en combinación con una contraseña te otorga acceso). Si ingresa un correo electrónico que no está en el sistema, le indicará que el usuario no existe. Si ingresa un correo electrónico que está en el sistema, le dará un mensaje de "correo electrónico enviado".

Me parece que este es un caso en el que cuanto menos puedas revelar, mejor, pero tampoco puedo pensar en una forma en la que pudiera presentar una vulnerabilidad, pero es un inconveniente no proporcionar más información al usuario. .

    
pregunta tau 17.03.2017 - 06:44
fuente

3 respuestas

6

Hay algunas maneras en que podría ser un problema:

  • Teniendo en cuenta algunas de las consecuencias del hack de Ashley Madison, el hecho de poder confirmar si una persona tiene una cuenta en un sitio determinado puede ser valioso. En el caso de este hack (según el artículo de Wikipedia ):

      

    Tras el ataque, las comunidades de vigilantes de Internet comenzaron a buscar personas famosas que planeaban humillar públicamente.

  • En una nota similar, ataques como que sobre activistas de derechos humanos , o incluso ataques de pozos de agua pueden ser mejor dirigidos si puedes Confirmar (o no) que tienen cuentas.

  • El phishing (y, en concreto, phishing con lanza / ballena) puede ser más efectivo si puede identificar una buena fuente de falsificación. En ese sentido, si puede confirmar que un usuario tiene una cuenta en un sitio determinado, puede aumentar sus posibilidades de éxito ( tangencialmente relacionado ).

Posiblemente no sea lo que tenía en mente, pero también le recomendaría que considere la metodología que usa Brian Krebs en sus investigaciones: ha podido obtener evidencia concluyente sobre piratería criminal basada en ser capaz de vincular a las personas con los identificadores en línea. Esto no es un 'ataque', pero puede resultar en DoS 'Ingresando individuos por algún tiempo .

Sospecho que el caso más relevante para su pregunta es poder confirmar si vale la pena comprometer un sitio para llegar a sus usuarios.

Notablemente, sospecho que considerar ese vector en particular podría llevar a algunas consideraciones de diseño específicas, como que su 'Restablecer contraseña' devuelva un mensaje similar a "Solicitud recibida", en lugar de "Correo electrónico enviado".

    
respondido por el iwaseatenbyagrue 17.03.2017 - 09:28
fuente
3

Claro, cuando alguien está atacando al usuario , a diferencia del sistema . Cuando un atacante persigue a una persona y conoce la dirección de correo electrónico de su objetivo, puede ingresar la dirección de correo electrónico en docenas o cientos de sistemas y ver cómo responde cada uno. De esta manera, construyen una lista de sistemas interesantes para atacar y aprender sobre el usuario. (Como beneficio adicional, ninguno de los sistemas tiene activado alguno de sus sistemas anti-piratería, porque solo hubo un intento de inicio de sesión para una cuenta de usuario específica).

    
respondido por el drewbenn 17.03.2017 - 07:44
fuente
2

Por lo general, enumeración del nombre de usuario se considera un primer paso hacia la fuerza bruta o el diccionario. ataques basados en Si sabe que un nombre de usuario es válido, entonces sabe que no está perdiendo el tiempo intentando iniciar sesión.

    
respondido por el Xiong Chiamiov 17.03.2017 - 07:41
fuente

Lea otras preguntas en las etiquetas

¿Se filtró el número de la tarjeta, alguna consecuencia? formato de pantalla MD5