martes, 25 de septiembre de 2018

La web de Renfe permite que los usuarios utilicen contraseñas poco seguras

El otro día me quise dar de alta en la web de Renfe. No voy a tirar de las bromas clásicas sobre la web de Renfe, pero sí que tiene opciones que dejan mucho que desear, demostrando que en la seguridad del usuario no han pensado.


Nunca me costó tanto crearme una cuenta en un sitio web como en la web de Renfe, y todo porque o bien no permitían las mayúsculas o bien no permitían los signos de puntuación. Yo creo que se debe a los signos de puntuación.


Si nos fijamos en el maxlenght, vemos que la extensión máxima de las contraseñas no puede ser mayor de 16 dígitos. Puede estar bien, ya que pocos usuarios utilizan los 16 dígitos.

Pongamos que un usuario utilice los 16 dígitos. Eso quiere decir que si sólo utiliza minúsculas, hay 1.03e11 combinaciones posibles. No son tantas como parecen, sobre todo si pensamos en que el número podía ser mucho más grande permitiendo los signos de puntuación.

Si además utilizase las mayúsculas, las combinaciones crecen a 1.12e56. Pero eso suponiendo que los usuarios utilicen las mayúsculas y minúsculas y 16 dígitos para sus contraseñas.

Si utilizasen números y minúsculas (lo que la mayoría de usuarios utiliza) tendríamos 9.66e22 combinaciones posibles

Con un equipo potente y teniendo en cuenta la gran mayoría de usuarios que utilizan fechas de nacimiento y ese tipo de contraseñas, podemos realizar un ataque de fuerza bruta y, si encima Renfe no utiliza políticas iptables con software como Fail2Ban para bloquear estos ataques, sí que dejan al usuario mucho más expuesto.


Recordemos que los usuarios de Renfe podrían recordar sus tarjetas de crédito, por lo que si un atacante lograse entrar a la cuenta de Renfe de un usuario, podría, si se da el caso, ver sus tarjetas de crédito. Yo nunca recuerdo las tarjetas de crédito, pero mucha gente, por comodidad, sí que lo hacen.

Además también me sorprendió que te dejasen descargar el billete desde la misma web. Imaginemos de nuevo que el atacante accede a la cuenta del usuario y, como tiene guardada su tarjeta de crédito, compra un billete. Pues desde la misma web de Renfe se lo podría descargar y viajar sin problema.

Si por el contrario, solamente se enviase el pdf con el billete por correo para que sea el usuario el que se lo pueda descargar, mejorarían así la seguridad bastante.

Es cierto que puede darse el caso que el usuario reutilice contraseñas, pero eso ya se sale del marco de actuación de Renfe. También algunx podría decir que el atacante podría cambiar el correo del usuario. Eso es cierto, pero se podría controlar eso de tal forma que al cambiarlo y dar en "Guardar", se envíe un código por SMS al usuario con un código de verificación que se deberá introducir para que los datos se guarden de verdad. 

Es cierto que se podría obtener el código de verificación del SMS, pero ya tendría que estar en la misma red y realizar un ataque para acceder con sesión meterpreter. Cierto que en Android esto puede no ser tan complicado teniendo en cuenta las Fake Apps, pero al menos lo pones más complicado y proteges un poco más al usuario, y no lo dejas tan desprotegido como hace Renfe. Qué menos que si entran en tu cuenta, al menos no puedan sacar provecho del viaje. Mal, muy mal Renfe.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...