¿Riesgo de seguridad de permitir que alguien más configure una cuenta para mí usando una dirección de correo electrónico que tengo?

Navega tus respuestas
1

Lo que pasa es que un amigo mío quería comprarme como regalo un juego en Steam, pero no tenía una cuenta, así que lo que hizo fue crear una cuenta para mí, con mi propio correo electrónico, y con una contraseña aleatoria, y me sugirió que la cambiara. Por supuesto, tuve que ir a mi propio correo electrónico y hacer clic en el "enlace de confirmación" para validar primero la dirección de correo electrónico y luego cambiar la contraseña.

La cuestión es que confío en este amigo en este caso, pero me preguntaba si existe algún riesgo de hacerlo. La cuenta está vinculada a mi propio correo electrónico, y la contraseña ha sido cambiada, por lo que creo que no hay ningún riesgo, pero esto me parece un poco incómodo, por lo que creo que puede haber algún riesgo aquí.

    
pregunta Pablo Matias Gomez 31.12.2017 - 05:19
fuente

2 respuestas

1

Empecemos con el caso general ...

El correo electrónico suele ser el punto de verificación principal de una cuenta, por lo que dado que usted controla la dirección de correo electrónico, a otra persona le resultará difícil restablecer la cuenta o tomar medidas sin que usted lo sepa. Sin embargo, hay algunas posibilidades:

  • Gestión de sesiones deficiente por parte del servicio: si su amigo inició sesión con la cuenta y nunca se desconectó, incluso si cambió la contraseña, podría permanecer conectado. Una buena práctica para el sitio web sería invalidar todas las sesiones activas cuando se cambia una contraseña
  • Recuperación de la cuenta que puede omitir el correo electrónico: algunos servicios le permiten restablecer y recuperar el control de la cuenta con un correo electrónico de respaldo, un número de teléfono o respondiendo preguntas de desafío
  • Soporte técnico para ingenieros sociales: si hay un elemento humano, siempre existe la posibilidad de que, a través del correo electrónico, el chat en vivo, el teléfono, etc., alguien pueda crear un ingeniero social para obtener acceso a su cuenta si conocen la información suficiente.

En el caso de Steam, puede revisar sus Preguntas frecuentes sobre la recuperación de la cuenta . Desde la primera lectura, parece que puede recuperar una cuenta con información clave y sin acceso a correo electrónico, pero no he pasado por el proceso para probarlo.

Steam ofrece una opción de autenticación de 2 factores, que podría ayudar a prevenir este tipo de ataques, pero no estoy seguro de cómo manejarían los intentos de ingeniería social cuando el atacante afirmó que perdió el acceso a la solución de 2 factores. Consulte la la guía de Steam para proteger su cuenta .

En general, no recomendaría que otras personas configuren su cuenta en su nombre.

    
respondido por el Eric G 05.01.2018 - 05:02
fuente
0

Un par de puntos aquí:

  

Tuve que ir a mi propio correo electrónico y hacer clic en el "enlace de confirmación" para validar primero la dirección de correo electrónico

Asegúrese de que el correo electrónico fue de Steam. Podría haber sido un correo electrónico de phishing.

Si la contraseña se cambió desde el portal de Steam yendo manualmente al enlace oficial, debería estar bien. Si se cambió desde un enlace enviado en un correo electrónico, tal vez por su amigo, nuevamente podría haber sido un correo electrónico de suplantación de identidad (phishing).

También, puede verificar las opciones de recuperación de contraseña para su cuenta (como preguntas y respuestas secretas o algún correo electrónico secundario) y cambiarlas también. Incluso si ha cambiado la contraseña, pero si su amigo aún conoce los métodos de recuperación de la contraseña, puede restablecer la contraseña en cualquier momento.

Con respecto al regalo que se le da a su cuenta, no debe haber ningún riesgo.

    
respondido por el pri 31.12.2017 - 05:32
fuente

Lea otras preguntas en las etiquetas

Podría estar infectado ejecución simbólica vs fuzzing