miércoles, 31 de agosto de 2016

Google no hace autenticación a la hora de recuperar una cuenta de Gmail sin 2FA

Estaba yo auditando una de las múltiples webs que tengo que auditar, y una de las cosas que suelo hacer, es buscar qué usuarios de los que he conseguido obtener su correo, tienen o no un 2FA en sus diferentes redes sociales, y cuando estaba probando con uno de los usuarios de una de las webs que estaba auditando, me di cuenta que Google había cambiado la forma de recuperar tu cuenta de Google si no tienes un 2FA..



Como sabéis, una vez que conocemos una dirección de correo electrónico, podemos comprobar si tiene cuenta en Twitter, Facebook,etc. En este caso, lo vamos a hacer con una cuenta de Gmail que no use 2FA.


La idea es extremadamente sencilla, ya que basta con escribir una dirección de correo electrónico, y si no usa 2FA, nos pedirá que escribamos la última contraseña que recordemos, y si pulsamos en "Probar con otra pregunta" nos aparecerán más preguntas como que cuándo te creaste la cuenta o cuándo naciste. El truco está en pasar hasta que te pida que escribas una dirección de correo electrónico a  la cual enviarán un código de verificación para que puedas entrar y cambiar la contraseña.


El problema está en que no se realiza autenticación alguna para permitir que esa dirección de correo electrónico reciba el código de verificación. Yo esto lo he probado con una cuenta mía a la cual le he cancelado el 2FA que tenía asociado a esta cuenta solamente para probar esto-lo podría probar con una cuenta de otra persona, pero tratar de iniciar sesión con ese código podría ser ilegal, así que por si acaso, no me la juego-.

Esta entrada la estoy escribiendo el 14 agosto, ya que tenía que preparar charlas, por este motivo, no sé si cuando se publique la entrada seguirá esta opción de recuperar una cuenta de Google que no tiene habilitado un 2FA, aún así, se lo reportaré para ver si lo cambian, ya que te envían el código a la cuenta que especifiques mayor problema.


Ya se ha visto lo sencillo que es robar una cuenta de Gmail, y recuerdo que todas las personas que tienen un Android y no han cambiado la opción de, por ejemplo,  que las fotos que toman desde su terminal móvil, se guarden en la nube. Yo solo lo recuerdo, que el caso de las famosas desnudas en Internet, es muy reciente.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...