jueves, 18 de agosto de 2016

Canta mientras te roban el usuario y la contraseña

Tener una web y hacer uso de un formulario de login cuando los datos de los clientes no van en HTTPS, es una pero que muy mala idea. Aún así, no son pocas las webs que piden que te registres cuando no se preocupan de la seguridad de tus datos.


Como ya sabéis, la sobrina de mi pareja y yo, somos unos gran fans de Frozen y de sus canciones. Tanto es así, como que cada vez que nos vemos, ponemos una canción de Frozen y nos ponemos a cantarla y bailarla.


Para que la sobrina de mi pareja aprendiese inglés, decidí que lo mejor podría ser cantar las canciones de Frozen en inglés. Para esto, me fui a una web conocida que con forme suena la canción que elijas-la sobrina de mi pareja y yo, obviamente escogemos las canciones de Frozen- te aparece debajo la letra con algunos huecos que debes rellenar, y es éste el problema, que esta web se ha dejado un hueco sin rellenar, la seguridad.

Como veis, pide iniciar sesión o registrarse mientras van en HTTP, algo que ya sabéis de sobra que no es muy buena idea. Aún así los usuarios se registran.


Evidentemente, cuando rellenas los datos necesarios para el registro y pulsas en enviar, cualquier atacante que esté conectada a la misma red wifi que tú-de ahí que no es buena idea conectarse a redes wifis públicas para hacer según que cosas- podría robarte la contraseña, y si encima usas la misma para todo y no has implementado un 2FA estás completamente OWNED.


Lo gracioso es que también te puedes registrar usando tu cuenta de Facebook y esta web, permite a un atacante conocer el user id y el access token. Pero aquí no queda todo.


Acto seguido de seleccionar que quieres registrarte usando tu cuenta de Facebook y de dar permisos a la web para que mire los datos que te piden saber, te piden una verificación de algunos datos. Pero claro, enviarle una verificación de tus datos de tu cuenta de Facebook a una web que viaja bajo HTTP, lo mismo no es del todo buena idea.


Es evidente que no es buena idea, ya que gracias a esta web, te podrían hackear la cuenta de Facebook.


Mientras, la sobrina de mi pareja y yo, seguiremos perfeccionando nuestro inglés con las canciones de Frozen. Es curioso, pero creo que paso más tiempo con la sobrina de mi pareja que con mi pareja, algo paradójico.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...