Un artículo técnico explica como es posible saltarse la seguridad de dos factores (2FA) utilizando un ataque de man-in-the-middle. El ataque requiere que el usuario inicie un proceso de darse de alta en una web y utilice la misma dirección de correo que se quiere robar. Mientras el usuario se da de alta en esa web, el sistema por detrás se conecta al proveedor de correo de la cuenta e inicia el proceso de recuperar contraseña. Al usuario se le van mostrando las mismas preguntas que haga el servicio de correo (captcha, pregunta de seguridad...)
Comentarios
#7 Yo veo que no te has leido el artículo
Leetelo porque si no es diálogo de besugos.
#11 entonces es que no has conocido a LauritaG. Era una usuaria de este garito.
Es sarcasmo.
#12 me suena pero supongo que no me llamaba la atención lo suficiente o que fue una época en que no me metía mucho por aquí
Con google no funcionaría porque ninguna pregunta encaja con ninguna escusa para colarla al usuario. Estas son:
1. Escribe la última contraseña que recuerdas
Justo lo estaba pensando ayer cuando me registraba en una web y me salía la pantallita de Google.. o quizá no era de Google..
Van a disculpar mi ignorancia sobre estos temas. Pero este tipo de artículos son como las webs esas de "bájate este libro gratis para que veas qué interesante es con la condición de que lo compres, ¿vale?"
O sea, con la excusa de mostrar vulnerabilidades, te digo cómo se crackea el temita.
#2 No entiendo nada. Este artículo explica como se hace para evitar que te pase.
#3 vale, es que no me lo he leído
Con un simple plugin del tipo httpseverywhere problema resuelto. Vamos que... Al perfil de usuario que le puedes hacer esto, se lo puedes sacar también llamándole por teléfono diciendo que eres de Movistar y necesitas su pass para darle Netflix gratis.
#2 si, sencillisimo de hacer. Casi no hay ahí asumidas cosas jodidisimas de hacer ni nada. Igual tu eres una eminencia pero vamos. Fácil ya te digo yo que no es ni con un manual para dummies.
#5 Veo que no te lo has leido
¿como te ayuda ese plugin en este caso? Este ataque no requiere para nada desencriptar una comunicación con tu servicio de correo.
#6 veo que no conoces el plugin... Crees que al forzar túnel https ese atacante tiene me va a presentar u certificado comprado a una entidad como VeriSign para que no me salte el aviso de ¡Web poco legítima! Que no me saltaría con Google?
#5 claramente se nota por mi comentario que soy la puta ama
#8 perdona pero la puta ama era una tal LauritaG....
#10 yo lo he dicho irónicamente. Como no conozco a la que tú dices no sé si lo tuyo es también irónico o no...