O que é Colheita de Contas?

Existem muitos tipos diferentes de violações de dados. Alguns envolvem muito tempo, planejamento e esforço por parte do invasor. Isso pode assumir a forma de aprender como um sistema funciona antes de criar uma mensagem de phishing convincente e enviá-la a um funcionário que tenha acesso suficiente para permitir que o invasor roube detalhes confidenciais. Esse tipo de ataque pode resultar em uma grande quantidade de dados perdidos. O código-fonte e os dados da empresa são alvos comuns. Outros alvos incluem dados do usuário, como nomes de usuário, senhas, detalhes de pagamento e PII, como números de previdência social e números de telefone.

Alguns ataques não são nem de longe tão complicados. É certo que eles também não têm um impacto tão grande em todos os afetados. Isso não significa que eles não sejam um problema. Um exemplo é chamado de colheita de contas ou enumeração de contas.

Enumeração da conta

Você já tentou entrar em um site apenas para ser informado de que sua senha estava errada? Essa é uma mensagem de erro específica, não é? É possível que, se você, deliberadamente, cometer um erro de digitação em seu nome de usuário ou endereço de e-mail, o site lhe dirá que “não existe uma conta com esse e-mail” ou algo nesse sentido. Veja a diferença entre essas duas mensagens de erro? Os sites que fazem isso são vulneráveis ​​à enumeração ou coleta de contas. Simplificando, fornecendo duas mensagens de erro diferentes para os dois cenários diferentes, é possível determinar se um nome de usuário ou endereço de e-mail tem uma conta válida no serviço ou não.

Existem muitas maneiras diferentes de identificar esse tipo de problema. O cenário acima das duas mensagens de erro diferentes é bastante visível. Também é fácil de corrigir, basta fornecer uma mensagem de erro genérica para ambos os casos. Algo como “O nome de usuário ou a senha digitada estão incorretos”.

Outras maneiras pelas quais as contas podem ser coletadas incluem formulários de redefinição de senha. Ser capaz de recuperar sua conta se você esquecer sua senha é útil. Um site mal protegido, porém, pode fornecer novamente duas mensagens diferentes, dependendo se o nome de usuário para o qual você tentou enviar uma redefinição de senha existe. Imagine: “Conta não existe” e “Redefinição de senha enviada, verifique seu e-mail”. Novamente neste cenário, é possível determinar se existe uma conta comparando as respostas. A solução também é a mesma. Forneça uma resposta genérica, algo como: “Um e-mail de redefinição de senha foi enviado”, mesmo que não haja uma conta de e-mail para a qual enviá-lo.

Sutileza na colheita de contas

Ambos os métodos acima são um pouco altos em termos de pegada. Se um invasor tentar realizar um ataque em escala, ele aparecerá com bastante facilidade em basicamente qualquer sistema de registro. O método de redefinição de senha também envia explicitamente um e-mail para qualquer conta que realmente exista. Falar alto não é a melhor ideia se você estiver tentando ser sorrateiro.

Alguns sites permitem interação ou visibilidade direta do usuário. Nesse caso, simplesmente navegando no site, você pode coletar os nomes de tela de todas as contas que encontrar. O nome de tela geralmente pode ser o nome de usuário. Em muitos outros casos, pode dar uma grande dica sobre quais nomes de usuário adivinhar, já que as pessoas geralmente usam variações de seus nomes em seus endereços de e-mail. Esse tipo de coleta de conta interage com o serviço, mas é essencialmente indistinguível do uso padrão e, portanto, é muito mais sutil.

Uma ótima maneira de ser sutil é nunca tocar no site sob ataque. Se um invasor estiver tentando obter acesso a um site corporativo exclusivo para funcionários, ele poderá fazer exatamente isso. Em vez de verificar o próprio site em busca de problemas de enumeração de usuários, eles podem ir para outro lugar. Ao vasculhar sites como Facebook, Twitter e especialmente LinkedIn, pode ser possível construir uma boa lista de funcionários de uma empresa. Se o invasor puder determinar o formato de e-mail da empresa, como [email protected], poderá coletar um grande número de contas sem nunca se conectar ao site que planeja atacar com elas.

Pouco pode ser feito contra qualquer uma dessas técnicas de colheita de contas. Eles são menos confiáveis ​​que os primeiros métodos, mas podem ser usados ​​para informar métodos mais ativos de enumeração de contas.

O diabo está nos detalhes

Uma mensagem de erro genérica geralmente é a solução para impedir a enumeração de contas ativas. Às vezes, porém, são os pequenos detalhes que revelam o jogo. Por padrão, os servidores da Web fornecem códigos de status ao responder às solicitações. 200 é o código de status para “OK” que significa sucesso e 501 é um “erro interno do servidor”. Um site deve ter uma mensagem genérica indicando que uma redefinição de senha foi enviada, mesmo que não tenha sido, porque não havia conta com o nome de usuário ou endereço de e-mail fornecido. Em alguns casos, embora o servidor ainda envie o código de erro 501, mesmo que o site exiba uma mensagem de sucesso. Para um invasor atento aos detalhes, isso é suficiente para dizer se a conta realmente existe ou não.

Quando se trata de nomes de usuário e senhas, até o tempo pode ser um fator. Um site precisa armazenar sua senha, mas para evitar que ela vaze caso seja comprometido ou tenha um invasor desonesto, a prática padrão é fazer o hash da senha. Um hash criptográfico é uma função matemática unidirecional que, se receber a mesma entrada, sempre fornecerá a mesma saída, mas se um único caractere na entrada mudar, toda a saída mudará completamente. Armazenando a saída do hash, fazendo o hash da senha que você enviou e comparando o hash armazenado, é possível verificar se você enviou a senha correta sem realmente saber sua senha.

Juntando os detalhes

Bons algoritmos de hash levam algum tempo para serem concluídos, geralmente menos de um décimo de segundo. Isso é suficiente para dificultar a força bruta, mas não tanto para ser pesado quando você apenas verifica um único valor. pode ser tentador para um engenheiro de site cortar um canto e não se preocupar em hash da senha se o nome de usuário não existir. Quero dizer, não há nenhum ponto real, pois não há nada para compará-lo. O problema é o tempo.

As solicitações da Web normalmente recebem uma resposta em algumas dezenas ou até mesmo em cerca de cem milissegundos. Se o processo de hashing de senha levar 100 milissegundos para ser concluído e o desenvolvedor ignorá-lo... isso pode ser perceptível. Nesse caso, uma solicitação de autenticação para uma conta que não existe obteria uma resposta em aproximadamente 50 ms devido à latência da comunicação. Uma solicitação de autenticação para uma conta válida com uma senha inválida pode levar cerca de 150ms, incluindo a latência de comunicação, bem como os 100ms enquanto o servidor processa a senha. Simplesmente verificando quanto tempo demorou para uma resposta voltar, o invasor pode determinar com precisão bastante confiável se uma conta existe ou não.

Oportunidades de enumeração orientadas a detalhes como essas duas podem ser tão eficazes quanto os métodos mais óbvios de coleta de contas de usuário válidas.

Efeitos da colheita de contas

À primeira vista, ser capaz de identificar se uma conta existe ou não em um site pode não parecer um grande problema. Não é como se o invasor pudesse obter acesso à conta ou algo assim. Os problemas tendem a ser um pouco mais amplos em escopo. Os nomes de usuário tendem a ser endereços de e-mail ou pseudônimos ou baseados em nomes reais. Um nome real pode ser facilmente vinculado a um indivíduo. Ambos os endereços de e-mail e pseudônimos também tendem a ser reutilizados por um único indivíduo, permitindo que sejam vinculados a uma pessoa específica.

Então, imagine se um invasor puder determinar que seu endereço de e-mail tem uma conta em um site de advogados de divórcio. Que tal em um site sobre afiliações políticas de nicho ou condições de saúde específicas. Esse tipo de coisa pode realmente vazar algumas informações confidenciais sobre você. Informações que você pode não querer por aí.

Além disso, muitas pessoas ainda reutilizam senhas em vários sites. Isso ocorre apesar de quase todo mundo estar ciente dos conselhos de segurança para usar senhas exclusivas para tudo. Se o seu endereço de e-mail estiver envolvido em uma violação de big data, é possível que o hash da sua senha esteja incluído nessa violação. Se um invasor for capaz de usar força bruta para adivinhar sua senha dessa violação de dados, ele poderá tentar usá-la em outro lugar. Nesse ponto, um invasor saberia seu endereço de e-mail e uma senha que você pode usar. Se eles puderem enumerar contas em um site no qual você tem uma conta, eles podem tentar essa senha. Se você reutilizou essa senha naquele site, o invasor pode entrar em sua conta. É por isso que é recomendável usar senhas exclusivas para tudo.

Conclusão

A coleta de contas, também conhecida como enumeração de contas, é um problema de segurança. Uma vulnerabilidade de enumeração de conta permite que um invasor determine se uma conta existe ou não. Como uma vulnerabilidade de divulgação de informações, seu efeito direto não é necessariamente grave. O problema é que quando combinada com outras informações a situação pode piorar muito. Isso pode resultar na existência de detalhes confidenciais ou privados que podem ser vinculados a uma pessoa específica. Também pode ser usado em combinação com violações de dados de terceiros para obter acesso a contas.

Também não há razão legítima para um site vazar essas informações. Se um usuário cometer um erro em seu nome de usuário ou senha, ele só precisará verificar duas coisas para ver onde cometeu o erro. O risco causado pelas vulnerabilidades de enumeração de contas é muito maior do que o benefício extremamente pequeno que elas podem oferecer a um usuário que cometeu um erro de digitação no nome de usuário ou na senha.