¿Qué es la recolección de cuentas?

Hay muchos tipos diferentes de violaciones de datos. Algunos implican grandes cantidades de tiempo, planificación y esfuerzo por parte del atacante. Esto puede tomar la forma de aprender cómo funciona un sistema antes de crear un mensaje de phishing convincente y enviarlo a un empleado que tenga suficiente acceso para permitir que el atacante robe detalles confidenciales. Este tipo de ataque puede resultar en una gran cantidad de datos perdidos. El código fuente y los datos de la empresa son objetivos comunes. Otros objetivos incluyen datos de usuario, como nombres de usuario, contraseñas, detalles de pago y PII, como números de seguridad social y números de teléfono.

Sin embargo, algunos ataques no son tan complicados. Es cierto que tampoco tienen un impacto tan grande en todos los afectados. Sin embargo, eso no significa que no sean un problema. Un ejemplo se llama recopilación de cuentas o enumeración de cuentas.

enumeración de cuentas

¿Alguna vez ha intentado iniciar sesión en un sitio web solo para que le diga que su contraseña era incorrecta? Ese es más bien un mensaje de error específico, ¿no? Es posible que si luego, deliberadamente, comete un error tipográfico en su nombre de usuario o dirección de correo electrónico, el sitio web le dirá que "no existe una cuenta con ese correo electrónico" o algo por el estilo. ¿Ves la diferencia entre esos dos mensajes de error? Los sitios web que hacen esto son vulnerables a la enumeración de cuentas o la recolección de cuentas. En pocas palabras, al proporcionar dos mensajes de error diferentes para los dos escenarios diferentes, es posible determinar si un nombre de usuario o dirección de correo electrónico tiene una cuenta válida con el servicio o no.

Hay muchas formas diferentes de identificar este tipo de problema. El escenario anterior de los dos mensajes de error diferentes es bastante visible. También es fácil de arreglar, simplemente proporcione un mensaje de error genérico para ambos casos. Algo así como "El nombre de usuario o la contraseña que ingresó eran incorrectos".

Otras formas en que se pueden recopilar cuentas incluyen formularios de restablecimiento de contraseña. Poder recuperar su cuenta si olvida su contraseña es útil. Sin embargo, un sitio web mal protegido podría proporcionar dos mensajes diferentes dependiendo de si existe el nombre de usuario al que intentó enviar un restablecimiento de contraseña. Imagínese: "La cuenta no existe" y "Se envió el restablecimiento de contraseña, verifique su correo electrónico". De nuevo en este escenario, es posible determinar si existe una cuenta comparando las respuestas. La solución es la misma también. Proporcione una respuesta genérica, algo como: "Se ha enviado un correo electrónico de restablecimiento de contraseña", incluso si no hay una cuenta de correo electrónico a la que enviarlo.

Sutileza en la recolección de cuentas

Ambos métodos anteriores son algo ruidosos en términos de su huella. Si un atacante intenta realizar cualquiera de los dos ataques a gran escala, aparecerá con bastante facilidad básicamente en cualquier sistema de registro. El método de restablecimiento de contraseña también envía explícitamente un correo electrónico a cualquier cuenta que realmente exista. Ser ruidoso no es la mejor idea si estás tratando de ser astuto.

Algunos sitios web permiten la interacción directa con el usuario o la visibilidad. En este caso, simplemente navegando por el sitio web, puede recopilar los nombres de pantalla de cada cuenta que encuentre. El nombre de pantalla a menudo puede ser el nombre de usuario. En muchos otros casos, puede dar una gran pista sobre qué nombres de usuario adivinar, ya que las personas suelen usar variaciones de sus nombres en sus direcciones de correo electrónico. Este tipo de recopilación de cuentas interactúa con el servicio, pero es esencialmente indistinguible del uso estándar, por lo que es mucho más sutil.

Una excelente manera de ser sutil es nunca tocar el sitio web bajo ataque. Si un atacante intentaba obtener acceso a un sitio web corporativo solo para empleados, podría hacer exactamente eso. En lugar de revisar el sitio en sí mismo en busca de problemas de enumeración de usuarios, pueden ir a otro lado. Al rastrear sitios como Facebook, Twitter y especialmente LinkedIn, puede ser posible crear una lista bastante buena de empleados de una empresa. Si el atacante puede determinar el formato de correo electrónico de la empresa, como [email protected], entonces, de hecho, puede recolectar una gran cantidad de cuentas sin siquiera conectarse al sitio web que planea atacar con ellas.

Poco se puede hacer contra cualquiera de estas técnicas de recolección de cuentas. Son menos confiables que los primeros métodos, pero se pueden usar para informar métodos más activos de enumeración de cuentas.

El diablo está en los detalles

Un mensaje de error genérico suele ser la solución para evitar la enumeración de cuentas activas. A veces, sin embargo, son los pequeños detalles los que delatan el juego. Por estándares, los servidores web proporcionan códigos de estado al responder a las solicitudes. 200 es el código de estado para "OK", que significa éxito, y 501 es un "error interno del servidor". Un sitio web debe tener un mensaje genérico que indique que se envió un restablecimiento de contraseña, incluso si en realidad no fue así porque no había una cuenta con el nombre de usuario o la dirección de correo electrónico proporcionados. En algunos casos, aunque el servidor seguirá enviando el código de error 501, incluso si el sitio web muestra un mensaje de éxito. Para un atacante que presta atención a los detalles, esto es suficiente para saber si la cuenta realmente existe o no.

Cuando se trata de nombres de usuario y contraseñas, incluso el tiempo puede ser un factor. Un sitio web necesita almacenar su contraseña, pero para evitar filtrarla en caso de que se vean comprometidos o tenga un infiltrado interno, la práctica estándar es codificar la contraseña. Un hash criptográfico es una función matemática unidireccional que, si se le da la misma entrada, siempre da la misma salida, pero si incluso un solo carácter en la entrada cambia, la salida completa cambia por completo. Al almacenar la salida del hash, luego codificar la contraseña que envía y comparar el hash almacenado, es posible verificar que envió la contraseña correcta sin saber realmente su contraseña.

Uniendo los detalles

Los buenos algoritmos hash tardan un tiempo en completarse, normalmente menos de una décima de segundo. Esto es suficiente para dificultar la fuerza bruta, pero no tanto como para que sea difícil de manejar cuando solo se verifica un valor único. podría ser tentador para un ingeniero de sitio web tomar una esquina y no molestarse en codificar la contraseña si el nombre de usuario no existe. Quiero decir, no tiene sentido ya que no hay nada con qué compararlo. El problema es el tiempo.

Las solicitudes web suelen ver una respuesta en unas pocas decenas o incluso cien o más milisegundos. Si el proceso de hash de la contraseña tarda 100 milisegundos en completarse y el desarrollador lo omite... eso puede notarse. En este caso, una solicitud de autenticación para una cuenta que no existe obtendría una respuesta en aproximadamente 50 ms debido a la latencia de la comunicación. Una solicitud de autenticación para una cuenta válida con una contraseña no válida puede tardar aproximadamente 150 ms, esto incluye la latencia de la comunicación y los 100 ms mientras el servidor codifica la contraseña. Simplemente comprobando cuánto tiempo tardó en volver una respuesta, el atacante puede determinar con una precisión bastante fiable si existe una cuenta o no.

Las oportunidades de enumeración orientadas a los detalles como estas dos pueden ser tan efectivas como los métodos más obvios de recolectar cuentas de usuario válidas.

Efectos de la recolección de cuentas

A primera vista, ser capaz de identificar si existe o no una cuenta en un sitio puede no parecer un gran problema. No es que el atacante haya podido acceder a la cuenta ni nada. Los problemas tienden a ser un poco más amplios en su alcance. Los nombres de usuario tienden a ser direcciones de correo electrónico o seudónimos o se basan en nombres reales. Un nombre real puede vincularse fácilmente a un individuo. Tanto las direcciones de correo electrónico como los seudónimos también tienden a ser reutilizados por un solo individuo, lo que permite vincularlos a una persona específica.

Entonces, imagine si un atacante puede determinar que su dirección de correo electrónico tiene una cuenta en un sitio web de abogados de divorcio. ¿Qué pasa en un sitio web sobre afiliaciones políticas de nicho o condiciones de salud específicas? Ese tipo de cosas podría filtrar información confidencial sobre usted. Información que quizás no quieras que salga a la luz.

Además, muchas personas aún reutilizan contraseñas en varios sitios web. Esto es a pesar de que casi todos conocen los consejos de seguridad para usar contraseñas únicas para todo. Si su dirección de correo electrónico está involucrada en una gran filtración de datos, es posible que el hash de su contraseña se incluya en esa filtración. Si un atacante puede usar la fuerza bruta para adivinar su contraseña a partir de esa violación de datos, puede intentar usarla en otro lugar. En ese momento, un atacante conocería su dirección de correo electrónico y una contraseña que podría usar. Si pueden enumerar cuentas en un sitio en el que usted tiene una cuenta, pueden probar esa contraseña. Si ha reutilizado esa contraseña en ese sitio, entonces el atacante puede ingresar a su cuenta. Es por eso que se recomienda usar contraseñas únicas para todo.

Conclusión

La recopilación de cuentas, también conocida como enumeración de cuentas, es un problema de seguridad. Una vulnerabilidad de enumeración de cuentas permite a un atacante determinar si una cuenta existe o no. Como vulnerabilidad de divulgación de información, su efecto directo no es necesariamente grave. El problema es que cuando se combina con otra información, la situación puede empeorar mucho. Esto puede resultar en que la existencia de detalles sensibles o privados puedan vincularse a una persona específica. También se puede usar en combinación con violaciones de datos de terceros para obtener acceso a las cuentas.

Tampoco hay una razón legítima para que un sitio web filtre esta información. Si un usuario comete un error en su nombre de usuario o contraseña, solo tiene que verificar dos cosas para ver dónde cometió el error. El riesgo causado por las vulnerabilidades de enumeración de cuentas es mucho mayor que el beneficio extremadamente pequeño que pueden proporcionar a un usuario que cometió un error tipográfico en el nombre de usuario o la contraseña.