¿Corregir los nombres de usuario mal escritos crea un riesgo de seguridad?

Navega tus respuestas
69

¿Corrigiendo un nombre de usuario mal escrito y solicitando al usuario un nombre de usuario válido presenta un riesgo de seguridad?

Recientemente intenté iniciar sesión en Facebook y escribí mal mi correo electrónico. Me pidieron el siguiente mensaje.

  

Inicia sesión como {nombre de usuario}

     

{email}@gmail.com · ¿No eres tú?

     

Por favor, confirme la contraseña Parece que ingresó una pequeña falta de ortografía   de su correo electrónico o nombre de usuario. Lo hemos corregido por ti, pero pregunta eso   usted vuelve a ingresar su contraseña para mayor seguridad.

Sé que los nombres de usuario no son realmente un secreto, pero cuando un sitio web corrige una falta de ortografía a una correcta, parece que están llevando el 'no un secreto' un poco demasiado lejos.

    
pregunta GER 10.05.2016 - 15:36
fuente

3 respuestas

163

Como dijiste, viste esto en Facebook, así que intenté estos pasos:

  • Inicie sesión con [email protected] y contraseña real - > funciona
  • Inicie sesión con [email protected] y contraseña real - > también funciona (!)
  • Inicie sesión con [email protected] y contraseña real - > también funciona
  • Inicie sesión con [email protected] y contraseña real - > también funciona
  • Inicie sesión con [email protected] y contraseña incorrecta - > Contraseña incorrecta, pero el correo electrónico se corrigió automáticamente al correo correcto
  • Inicia sesión con [email protected] en una pestaña privada (o un navegador con caché y cookies borrados) - > "El correo electrónico que ingresaste no coincide con ninguna cuenta"

Como la corrección solo parece funcionar cuando ya he iniciado sesión correctamente en FB en esta PC, diría que esto no es una vulnerabilidad en Facebook.

Editar: Se agregaron nuevos casos de prueba; gracias a Zymus, simbabque y Micheal Johnson por las sugerencias

    
respondido por el Lukas 10.05.2016 - 16:13
fuente
14

Permitir el nombre de usuario o la iteración del correo electrónico puede ser un problema de seguridad para la mayoría de los sitios, pero no para Facebook. Para sitios tan grandes como Facebook, encontrar correos electrónicos que tengan cuentas es fácil porque los sitios tienen muchos usuarios. Esto es válido para otras grandes bases de datos de usuarios como Google y Microsoft. Estas empresas solo tienen que estar seguras de que sus bases de datos de nombre de usuario / correo electrónico sean (más o menos) públicamente conocidas.

Dicho esto, me sorprendería si fuera la primera vez que utilizas Facebook con el mismo navegador, computadora o incluso dirección IP. Simplemente no tiene sentido para ellos completar los nombres de usuario, ya que cualquier cadena de correo electrónico probablemente esté cerca de uno o más de sus usuarios. Sospecho que Facebook tenía alguna forma de saber que eras tú.

    
respondido por el Neil Smithline 10.05.2016 - 16:10
fuente
1

Según los detalles que ha proporcionado aquí, diría "Sí, eso es un riesgo de seguridad" porque identifica al 100% quién está registrado en el sitio. No sé cuántas veces se puede enviar una solicitud antes de colocar un bloqueo (CAPTCHA, IP-block, etc.) pero un atacante podría simplemente "forzar" una serie de nombres de usuario y correos electrónicos para obtener una lista bastante clara de quien usa el sitio

Tal como está, el sistema no te dice qué ingresaste incorrectamente, pero un script podría decir eso rápidamente, comparando antes con el siguiente.

Peor aún, con una lista de nombres de usuarios y correos electrónicos, los que se deben a las listas de destino de otros sitios porque (supongo) las personas tienden a reutilizar los nombres de usuarios (como ocurre con las direcciones de correo electrónico).

Parece bastante cuestionable imho.

Sorprendido ... pensaría que FB tendría más sentido que eso.

    
respondido por el jms 10.05.2016 - 15:51
fuente

Lea otras preguntas en las etiquetas

CVE-2018-10933 - Omitir autenticación SSH - Vulnerabilidad libssh Lecciones aprendidas y conceptos erróneos sobre el cifrado y la criptología