sábado, 17 de septiembre de 2016

Aprovechar un leak de información en Dropbox para doxear a tu víctima

Ya sabéis que me gusta mucho usar trucos sencillos para encontrar fallos de seguridad sencillos, pero que la gente no termina de darse cuenta y no termina de protegerse. En base a esto y al gran revuelo que lleva montándose estas semanas sobre el robo de cuentas de Dropbox, he decidido mostrar como, conociendo el correo de una persona, puedes saber si tiene cuenta o no en Dropbox y así, posteriormente, doxearla.


A Dropbox, en este caso le ocurre lo mismo que a muchos otros servicios. Si tienes la dirección de correo electrónico de una persona-correo que has obtenido ya sea a través de un formulario, por extraer metadatos,etc.- yendo a los servicios que han cometido este pecado, si pulsas en "He olvidado la contraseña" puedes saber si esa persona-que a priori no sabes quién es- tiene cuenta o no en ese servicio, en este caso, Dropbox.


Si escribes una dirección de correo electrónico de una persona que con esa dirección no tiene cuenta en Dropbox, te aparecerá que no se ha encontrado la cuenta con ese e-mail o algo por el estilo. Yo esto lo he probado con los correos que obtuve de Injuve-la organizadora de Ceulaj-


Por otra parte, si la dirección de correo electrónico que escribes, pertenece a una cuenta existente a Dropbox apareceráun mensaje en el que te diga que "Se ha enviado la información necesaria al correo proporcionado".



Y sólo bastaría irse, por ejemplo a Facebook, y escribir la dirección de correo electrónico, para así, poder saber qué persona está detrás de ese email. En este caso, la dirección de correo que empezaba por "ayuso" no pertenecía a ninguna cuenta de Facebook, pero con otra dirección de correo obtenida de Ceulaj, ya sí existía la cuenta en cuestión.

Este proceso de Doxing, de conocer la identidad de la persona que está detrás de una determinada red social o dirección de correo electrónico, es algo muy importante en el mundo de la seguridad. Con lo mostrado hoy, es como ese gran robo de cuentas de Dropbox pudo empezar, ya que lo primero, es saber si esas personas tienen cuenta en Dropbox, y ya después, se les hackea, pero lo primero, es lo primero.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...