Uno de los mayores problemas de seguridad que nos encontramos mientras navegamos por internet es que nuestros datos sean filtrados por una página web. Son brechas de seguridad que pueden llegar a ser graves porque se comparten tus datos.
La forma, mientras que no se descubra otra manera, de darnos de alta en un sitio es utilizando nuestra dirección de correo electrónico. Por tanto, el correo electrónico te identifica a ti, o al menos te identifica a ti en una página web. Es literalmente como tu te comunicas con la página en cuestión.
Solemos darnos de alta en un sitio pero no solemos darnos de baja. El problema viene que a veces estas páginas en las que confiamos que no van a filtrar nuestros datos a veces lo hacen. La forma de filtrar esos datos es muy diversa:
- Los delincuentes son capaces de acceder a la base de datos de la página web y hacen una copia de seguridad de esos datos en los cuales hay un campo que es el correo electrónico.
- La página, de forma directa o indirecta, vende la información que tiene a terceros. No es lo habitual, pero puede ocurrir, aunque si es así obviamente la página no lo va a hacer público.
En este artículo voy a hablar de cómo aprovechar estas brechas de seguridad para investigar la forma en la que se puede trabajar con correos electrónicos para tener acceso a cuentas de diversas páginas que filtraron tus datos.
Cuenta de correo electrónica falsa para luchar contra el spam
Podemos utilizar una cuenta de correo falsa, de este modo no vemos filtrados nuestros propios datos. La página mailinator.com proporciona buzones públicos en los cuales puedes ver los mensajes que vienen de muchas páginas webs en las que personas como tu o como yo se dan de alta y no quieren ver comprometida su propia dirección de correo.
Vamos a utilizar la cuenta de un nombre muy común en inglés, john, por tanto la dirección será john@mailinator.com. En la url https://www.mailinator.com/v4/public/inboxes.jsp?to=john podemos cambiar la parte final y poner un nombre cualquier para entrar directamente en este buzón público. Si ponemos =peter veremos el buzón de peter, y así sucesivamente.
Es esta la dirección que utilizaremos para nuestra investigación. Esa cuenta tiene bastante movimiento. Mucha gente da esa dirección en infinidad de páginas, por tanto, vas a encontrar muchísimo spam en este buzón público que puedes ver en la Fig. 1. No solo hay spam también puede ver muchos virus, así que siempre hay que andar con cuidado y no hacer clic en enlaces. ¿Harías clic en los enlaces de los correos de la carpeta de spam?.
Buscando brechas de seguridad
Según la página haveibeenpwnd esta dirección se ha visto comprometida 98 veces como puede verse en la Fig 2. ¿Es alguna clase de record? Es decir, 98 páginas web, han visto copiada su base de datos y en ella estaba esa dirección y se ha filtrado en línea.
En este caso, al ser una cuenta asociada a una cuenta de correo pública no tiene mucha importancia. No son tus datos, son los de una cuenta de John en un buzón público. Si esa dirección llega a manos de un spammer enviará el spam a ese buzón público y morirá en él.
Recuperando el acceso a una página web
Pues bien, como sabemos que se ha filtrado 98 veces esa dirección y tenemos acceso al buzón público de esa misma dirección podemos recuperar la cuenta de una de esas páginas puesto que existe un maravilloso botón que pone ¿HAS OLVIDADO TU CONTRASEÑA? y el correo con el enlace del reseteo va a llegar al buzón público que estamos monitorizando.
Elegimos por ejemplo la página de Canva. En mayo de 2019 la página web de diseño gráfico Canva sufrió una brecha de seguridad que afectó a 137 millones de suscriptores. Los datos expuestos fueron el correo electrónico, la localización geográfica, nombre, contraseña (hasheadas, es decir, una huella digital de la contraseña) y el nombre de usuario.
Sabemos que hay una cuenta de john@mailinator.com. Sin embargo, no sabemos la contraseña de esa cuenta. Si vamos a la página de login tenemos el botón para recuperar la contraseña.
Pulsamos en él y ponemos la dirección de john@mailinator.com.
Ahora nos vamos al buzón público de mailinator para ver el mensaje de reseteo de la contraseña. Y el código numérico lo introducimos en la página de canva para recuperar la cuenta.
Establecemos una nueva contraseña y ya tenemos acceso al perfil de canva asociado a la cuenta de correo electrónico que canva filtró de john@mailinator.com.
Accediendo a tu “no” cuenta de canva
Como ya tenemos acceso a la cuenta de canva podemos ver lo que otras personas han realizado. Puedes consultarlo en https://www.canva.com/folder/all-designs . Es interesante ver el trabajo de otras personas que puedes ver en la Fig. 7.
Puedes ver lo que han hechos otros antes que tu que usaron esa cuenta de john@mailinator.com. Alguien, que no eres tu, ha creado diseños en la página de canva que tu puedes ver y editar.
Cualquiera puede resetear una cuenta expuesta
Al ser un buzón público cualquier persona puede resetear la contraseña de esa misma cuenta. Yo cambié la contraseña de canva pero si alguien en un futuro sigue mis mismos pasos va a poder cambiar la contraseña y poner la que le de la gana.
El motivo de usar estos buzones públicos es que tus datos no se van a ver expuestos. Y si lo son, son los datos de un buzón público y el spam se enviaría precisamente a ese mismo buzón público. No te va a afectar y tus datos están a salvo.
Puedes resetear cualquier cuenta que antes que tu alguien haya creado en cualquier otra página web. Tu tienes acceso, como el resto de personas, a ese buzón público. Y todo esto lo hemos conseguido porque la dirección de correo se filtró online, y la cuenta en canva sigue existiendo y se puede resetear las veces que queramos.
Resumen
Por tanto, las brechas de seguridad son un grave problema seguridad en internet hoy en día. Tus datos son tuyos. No es buena idea compartirlos alegremente. Nos damos de alta en una página web con nuestro correo electrónico. Prácticamente nunca nos damos de baja de esa página.
Es interesante estudiar mediante buzones públicos cómo trabaja el spam y la forma en la que se filtra la información. Nosotros delegamos en otras páginas web nuestros datos y pensamos que no los van a filtrar. Sin embargo, internet no es un cuento de hadas. Se filtran direcciones de email todos los días y por tanto es sumamente importante que usemos correos temporales o desechables. El uso de buzones públicos también es una forma de proteger nuestros datos. Si tu proteges tus datos es poco probable que alguien pueda atacarte usándo tus mismos datos.
[…] a gab.com con una cuenta asociada al correo de john@mailinator.com siguiendo los pasos mostrados en Brechas de seguridad en Internet que filtran tus datos. Dentro de gab verías algo como lo que se muestra en la Fig. 2. El alias de la cuenta es […]
[…] access gab.com with an account associated with john@mailinator.com by following the steps in Internet Security Gaps That Filter Your Data. Inside gab you would see something like what is shown in Fig. 2. The account alias is […]