Esto podría haber sido preguntado antes, pero he buscado durante algunas horas y no puedo encontrar mucho.
También me gustaría conocer algunas opiniones sobre lo que podría hacer un atacante si ingresa una dirección de correo electrónico en un sitio y responde con "Esa identificación de usuario no está disponible".
Mi primer pensamiento es que filtra las direcciones de correo electrónico de las personas, por lo que si conoce la dirección de correo electrónico, es posible que se registren en el sitio (si el correo electrónico no fue secuestrado).
Otro escenario de ataque podría ser adivinar un inicio de sesión si no hay 2 / MFA. La gente tiende a reutilizar contraseñas o cerrar variantes. Esto supone que el atacante puede vincular este "correo electrónico de ID de usuario recibido" a la misma persona. Otro escenario podría ser la ingeniería social y el registro de una dirección de correo electrónico muy similar para la suplantación para enviar correos electrónicos de phishing. La recuperación de la cuenta en un sitio puede ser posible si se realiza de manera deficiente, tal vez enviando un código a una dirección de recuperación vinculada que sea utilizable o caducada para que pueda registrarlo y obtener el código para recuperar la cuenta en el sitio con ese inicio de sesión de correo electrónico. / p>
¿Qué más cree que podría hacer un atacante cuando verifica un correo electrónico como nombre de usuario y dice que la ID no está disponible?
Pensé en el antiguo directorio de personas de Yahoo cerrado en 2012, donde podrías ingresar un nombre y apellido (y más, si supieras más), y tratar de encontrar su dirección de Yahoo.
¡Gracias!