¿Qué se puede hacer o saber de ti con solo tu email? [parte I]

Hola Amig@s, hoy vamos a compartir con vosotros antes de las nuevas entradas sobre cómo crear tu propio Shodan con Python (Shodita), una saga de nuevas entradas sobre qué se puede hacer o saber simplemente con tu email.

  • ¿Qué puedo hacer y saber de ti con tu email?: La técnica de los 3 años [PARTE I]
  • ¿Qué puedo hacer y saber de ti con tu email?: script Email OSINT Ripper (EO-Ripper.py) [PARTE II]
  • ¿Qué puedo hacer y saber de ti con tu email?: suplantando un correo electrónico [PARTE III]
  • ¿Qué puedo hacer y saber de ti con tu email?: análisis de tu bandeja de entrada [PARTE IV]

Estos artículos que tenemos preparados no tratarán solamente de cómo acceder a tu bandeja de entrada (con autorización), si no también enseñar herramientas desarrolladas por nosotros o externas para realizar OSINT y algunos trucos como el siguiente que os vamos a contar…

En 2013 escribí sobre un “truco” que conocía en mi antiguo blog personal (www.websec.es, ya no existe) y que me comento también mi amigo @Globalsec, y he decido que es un buen momento de recuperarlos… ¿En qué consiste este truco? Es una técnica que he utilizado varias veces en auditorías de seguridad de caja negra y en algún caso de menores desaparecidos siempre con autorización de los padres.

El año pasado en mi charla en Córdoba en la segunda edición de Security High School, con el nombre de “auditoría de seguridad en el sur” -como aparece abajo-  y con fechas más cercas en el EBE2016 explico; los procesos de negociación, las condiciones, las técnicas, metodologías y algunos scripts que usamos para realizar una auditoría de seguridad de forma sencilla a una empresa ficticia, llamada “Homercampo”. Aunque no existe ningún vídeo disponemos de la presentación que utilicé:

La técnica de la que vamos hablar empieza en la página 15 de la presentación y en la parte donde explico los procesos es la página 18:

Realmente la técnica no requiere un gran conocimiento técnico, es más, solo es necesario un poco de observación para detectar que la web se comporta de forma diferente cuando insertamos un email de un usuario no registrado y al contrario. Es una técnica muy sencilla y exitosa hace unos años, ahora es cierto que, es menos probable. Sería interesante hacer una prueba de concepto con 100 emails ¿no?

¿Cómo puedo saber si una plataforma es vulnerable a este truco? Debemos fijarnos en el texto que nos devuelve el login cuando insertamos un email de un usuario registrado y otro que sabemos que no lo está. En el caso de ser distinto tendremos un método para identificarlo. Fíjese en las dos imágenes que posteriormente le exponemos sobre el login de LinkedIn.

Después de detectar que webs son vulnerables podemos crear un bot que realice todas estas comprobaciones de forma automática a un listado de correos electrónicos personales y profesionales de los trabajadores de una empresa por ejemplo.

Las medidas que nos harían la vida más difícil serían los captchas y los baneos de IP. Las limitaciones contra la fuerza bruta en las contraseñas no nos impide comprobar el comportamiento de la web.

  • Facebook: cuando insertamos un email nos expone una imagen del perfil y su nickname.
  • LinkedIn: el texto de error es diferente con email registrado y otro que no. Sin embargo dispone de un captcha.
  • WordPress: el texto de error es diferente con email registrado y otro que no.

 

 

¿Por qué sucede esto?

  1. Las redes sociales no verifican -de forma regular- si los correos electrónicos de sus usuarios siguen existiendo y no han sido eliminados. Permitiendo que cualquier usuario mal intencionado pueda crearse de nuevo la misma cuenta y suplantar sus usuarios de las redes sociales. Me consta que LinkedIn si verifica cada X tiempo si el email del usuario ha sido borrado. Aunque sospecho que lo verifica únicamente cuando envía un email (es una solución, si envía constantemente emails la RRSS)
  2. ¿Qué edad tiene tu email? ¿Cuándo fue la última vez que entraste? ¿Quién no usa su email de la infancia? las plataformas de correos electrónicos Gmail, Hotmail, Yahoo, etc suelen dar de baja un email por inactividad a los 2 o 3 años. Por eso inicialmente le pusimos el nombre de la técnica de los 3 años.

¿Qué puedo hacer y saber de ti solo con tu email?

  1. Es posible saber que redes sociales estan registrados al email. Siempre y cuando se vean afectadas por el “truco”
  2. En el caso de que el email existiese pero actualmente no, por decisión del usuario o inactividad, no solo se podría acceder sin consentimiento del usuario a su cuenta de correo si no también a las redes sociales. Es importante destacar que cuando una cuenta de email se borra el proveedor puede tardar algún tiempo en dejar crear la misma cuenta. Por ejemplo mail.com ha tardado más de una semana en dejarme crear la misma cuenta y Latinmail 2 días. Sin embargo he vuelto hacer la prueba y el tiempo ha cambiado.
  3. Si hemos conseguido crear la misma cuenta de email, pinchando en “recordar contraseña”  la plataforma nos mandará un email -normalmente configurado así por defecto- a nuestro correo para proceder a cambiar la contraseña.

Conclusión

Si tu email ha sido borrado por inactividad o por decisión tuya es importante que lo quites de las redes sociales que lo tengas asociado. Por seguridad.

 

Bueno espero que os esté gustando esta nueva saga y recuerda seguirnos en las redes sociales: Facebook y Twitter

 

 

 

One Comment

Add a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *