jueves, 2 de marzo de 2017

Relacionar usuarios con sus cuentas de Twitter y Facebook

Estaba analizando la seguridad de CanalSur cuando encontré que visitaban y que participanban en varias ocasiones con una Instituto de Almería. Algo anecdótico, pero que quise analizar de inmediato.


Hay mucho por analizar, no obstante, quiero centrarme, al menos en esta entrada, en cómo era bastante sencillo relacionar unas determinadas direcciones de correo electrónico con las personas y sus cuentas de Facebook y Twitter.


Como se puede comprobar, podemos saber, al menos, una direcciones de correo electrónico de la corporación, lo que ya nos permite jugar bastante.


Esa dirección de correo electrónico ha sido usada para darse de alta en Adobe, y como ya sabemos, varios usuarios sufrieron una gran fuga de información de sus credenciales.


Si usamos la técnica del "He olvidado mi contraseña" en Twitter con el correo que sabemos, vemos que no es complicado saber que dispone de una cuenta de Twitter. Por lo general, será la cuenta de Twitter oficial del Instituto, lo que puede explicar que se registrase con este correo de empresa.


Esto lo que le hizo Bisbal a Chenoa más sentido cuando usamos la misma técnica para ver si también se han registrado en Facebook con esa dirección de correo electrónico. Vemos que sí y además, que es la cuenta oficial de la escuela.


Nos percatamos de que la cuenta de Twitter oficial de la Escuela la tienen un tanto abandonada, lo que nos hace pensar que buscar atacarlos con un anzuelo en Twitter, lo mismo, no es la mejor opción.


Quitando que hay muchas direcciones de correo de la Alcaldesa, con Kali Linux y la utilidad TheHarvester, podemos obtener algunas direcciones de correo electrónico de la empresa. Podemos ir probando uno a uno en servicios como Have I Been Pwned y así ver si han registrado ese correo en alguna web que haya sufrido una brecha de seguridad.


Probando con uno de ellos, vemos que también han registrado su correo de empresa en un sitio web que ha sufrido una brecha en el pasado.


Y podemos relacionar, con suma facilidad, esa dirección de correo electrónico con su cuenta de Twitter.


Al igual que ocurre con Facebook. En definitiva, que alguien, sabiendo tu dirección de correo electrónico, llegue hasta tu identidad, es relativamente sencillo. Si además has añadido información personal a tus cuentas de Facebook y Twitter como dónde estudiastes, las cosas que te gustan,etc. puedes ser una buena presa para los cibercriminales, así que anda con ojo.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...