Vulnerabilidad en la autenticación de dos factores en Dropbox (solucionada)

julio 9, 2013 § Deja un comentario

El equipo de QATAR-CERT ha encontrado una vulnerabilidad crítica que permitía a un atacante eludir la autenticación de dos factores en Dropbox. El atacante debe conocer el nombre de usuario y la contraseña de la cuenta objetivo y a partir de ahí, la vulnerabilidad permite eludir la autenticación de dos factores.

Verificación en dos pasos que como el resto de servicios que lo han implementado pretende aumentar la seguridad de las cuentas de acceso a sus servicios, solicitando un código servido mediante una aplicación móvil, además del nombre de usuario y la contraseña al iniciar sesión.

La vulnerabilidad de este sistema en Dropbox se produce porque el servicio de alojamiento (uno de los más populares de la Red) no verifica la autenticidad de las direcciones de correo electrónico utilizadas para firmar una nueva cuenta (específicamente no valida la cantidad de puntos “.”) por lo que un atacante puede crear una nueva cuenta falsa similar a la del objetivo y añadir un punto en cualquier parte de la dirección de correo. Esto sucede porque en el caso de GMail, Yahoo! y Hotmail “cuenta@mail.com” es lo mismo que “cu.en.ta@mail.com” y “c.uent.a@mail.com”.

Actualización: Dropbox ya ha solucionado la vulnerabilidad.

Fuente: Muy Seguridad y TheHackerNews

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Vulnerabilidad en la autenticación de dos factores en Dropbox (solucionada) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: