viernes, 11 de mayo de 2018

Dalas "hackeando" a sus fans y Twitter lamentándose por un fallo de seguridad

Dedicarse a la seguridad es un trabajo duro, tienes que meditar bastante sobre cómo va a realizar el ataque para que no sea muy descarado y suenen todas las alarmas. La seguridad requiere mucha investigación para saber cómo se pueden atacar a los sistemas. Pero claro, después ves que algunos youtubers piden a sus fans la contraseña y que estos se la dan y ya es cuando te quieres pegar un tiro.



Twitter, muchas veces, es maravilloso. Te muestra cosas que nunca te acabas de creer, pero sí, es capaz de enseñarte desde una persona haciendo un hilo genial sobre la vida de Leonardo Da Vinci hasta gente pasando us contraseñas de gmail, Twitter, Instagram y Facebook.



Resulta que el señor Dalas Review, escrribió un tweet pidiendo a sus fans sus usuarios y contraseñas a un correo-esto es lo mejor- SEGURO para grabar un vídeo de cómo los "hackea". Ya está, a tomar por culo la investigación, la preparación de un phishing clásico y gaitas; con pedirlo ya basta.

Después me hace mucha gracia que diga que se va a utilizar un correo seguro...y resulta que utiliza un correo sin cifrar y en Gmail. Gmail, un correo que por defecto va sin cifrar, que se pasa las políticas SPF por el foro y que, sí, tiene opción de utilizar Google Authenticator y 2FA mediante el SMS, pero no es suficiente.


Y sí, el señor Dalas utilizaba un 2FA mediante mensaje de confirmación al SMS, pero es que está el problema si no usa Signal como aplicación de SMS para que sus SMS vayan cifrados y además resulta que si te envían una apk falsa y consiguen acceso meterpreter, es posible acceder a los mensajes SMS del teléfono y encontrar el código de seguridad. Además de eso, hay investigadores que han demostrado que se puede hacer un bypass del 2FA de Google. Por lo que Google no parece ser una buena opción, mejor utilizar Protonmail al menos para que los mensajes vayan cifrados.



Y es que es alucinante que mucha gente le haya pasado su usario y contraseña. Además parece que muchos, por lo que le dicen, solamente le pasan un usuario y una contraseña cuando Dalas ha pedido el de Twitter e Instagram, por lo que podemos suponer que es la misma contraseña y usuario para las 2 cuentas.

Lo de que ha configurado ese correo de manera 100% segura, no sé si es que se cree que por tener un 2FA vía SMS en ese correo ya lo tiene todo hecho o es que ha incorporado algún mecanismo extra de seguridad además del del 2FA. No obstante, decir que lo ha configurado de manera 100% segura ya es un poco ingenuo por su parte.


Ha habido mucha gente que le ha pasado sus credenciales como si nada. Sin duda es una muy buena forma de hackear a gente.

Esto te hace conocer un nuevo vector de ataque, aunque al fin y al cabo todos funcionan igual, se basan en el exceso de confianza de la gente, que es un factor muy peligroso.


Pero es que todo esto estaba pasando mientras varios millones de usuarios de Twitter, habian sido hackeados en todo el mundo, por lo que la empresa Twitter, recomendaba a sus usuarios cambiar las contraseñas.

La gente nunca te dejará de sorprender y tú nunca dejarás de conocer nuevas posibles vulnerabilidades de la gente. Vulnerabilidades que, como hemos visto, vienen por un exceso de confianza por parte de los usuarios, siendo este, el origen de muchos problemas de seguridad.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...