Una vulnerabilidad en Dropbox permitía saltar la autenticación en 2 pasos.
Ya en anteriores ocasiones he comentado sobre el almacenamiento de archivos en la nube y que particularmente no uso por no cumplir con mis necesidades y requerimientos particulares por un lado y por que desconfío de la integridad del sistema por otro. Pues bien, e
l equipo de Q-CERT (CERT de Quatar) ha publicado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los archivos de la víctima.
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario victima@servidor.com, bastará con crear la cuentavicti.ma@servidor.com.
A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario victima@servidor.com, bastará con crear la cuentavicti.ma@servidor.com.
A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.
Como último paso, el atacante, deberá autenticarse con la cuenta real de la víctima, y en el momento de recibir el código en el dispositivo móvil, se deberá indicar al servicio que hemos perdido el dispositivo y que queremos ingresar el código de seguridad, código que fue generado en el momento de la creación de la cuenta fraudulenta y que sería también válido para la cuenta de la víctima.
Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.
Más información
Bypassing the two-factor authentication in DropBoxhttp://www.qcert.org/alerts/
No hay comentarios:
Publicar un comentario