El equipo de QATAR-CERT ha encontrado una vulnerabilidad crítica
que permitía a un atacante eludir la autenticación de dos factores en
Dropbox. El atacante debe conocer el nombre de usuario y la contraseña
de la cuenta objetivo y a partir de ahí, la vulnerabilidad permite
eludir la autenticación de dos factores.
Verificación en dos pasos que como el resto de servicios que lo han
implementado pretende aumentar la seguridad de las cuentas de acceso a
sus servicios, solicitando un código servido mediante una aplicación
móvil, además del nombre de usuario y la contraseña al iniciar sesión.
La vulnerabilidad de este sistema en Dropbox se produce porque el
servicio de alojamiento (uno de los más populares de la Red) no verifica
la autenticidad de las direcciones de correo electrónico utilizadas
para firmar una nueva cuenta (específicamente no valida la cantidad de
puntos ".") por lo que un atacante puede crear una nueva cuenta falsa
similar a la del objetivo y añadir un punto en cualquier parte de la
dirección de correo. Esto sucede porque en el caso de GMail, Yahoo! y
Hotmail "cuenta@mail.com" es lo mismo que "cu.en.ta@mail.com" y "c.uent.a@mail.com".
Actualización: Dropbox ya ha solucionado la vulnerabilidad.
Actualización: Dropbox ya ha solucionado la vulnerabilidad.
Fuente: Muy Seguridad y TheHackerNews
0 comentarios:
Publicar un comentario