Quali attacchi sono possibili se riesci a racimolare un elenco di utenti?

Naviga le tue risposte
3

Ci sono stati attacchi (o puoi pensare a un potenziale attacco) che dipendevano dalla possibilità di capire se un utente esiste in un sistema?

Ad esempio, in un'app Web c'è una pagina "Reimposta password" in cui si inserisce un indirizzo e-mail (che funge da nome di accesso, che in combinazione con una password, consente l'accesso). Se inserisci un'e-mail che non è nel sistema, ti dirà che l'utente non esiste. Se inserisci un'e-mail che è nel sistema, ti darà un messaggio "email inviata".

Questo mi sembra un caso in cui meno riesci a rivelare, meglio è, ma non riesco nemmeno a pensare a un modo in cui introdurrebbe una vulnerabilità, ma è scomodo non dare all'utente più informazioni .

    
posta tau 17.03.2017 - 06:44
fonte

3 risposte

6

Ci sono alcuni modi in cui questo potrebbe essere un problema:

  • Considerando alcuni dei fallout dell'hack di Ashley Madison, essere in grado di confermare se una persona ha o meno un account su un determinato sito può essere utile. Nel caso di questo trucco (per articolo di Wikipedia ):

    Following the hack, communities of internet vigilantes began combing through to find famous individuals, who they planned to publicly humiliate.

  • Su una nota simile, attacchi come che sugli attivisti per i diritti umani , o anche su attacchi watering hole possono essere meglio mirati se sei in grado di confermare (o meno) che hanno account.

  • Il phishing (e in specifico, il phishing con la lancia / balena) può essere reso più efficace se è possibile identificare una buona fonte di parodia. In questo senso, se puoi confermare che un utente ha un account su un determinato sito, allora puoi aumentare le tue possibilità di compromesso riuscito ( tangenzialmente correlati ).

Forse non quello che avevi in mente, ma ti raccomanderei anche di prendere in considerazione la metodologia utilizzata da Brian Krebs nelle sue indagini: è stato in grado di trarre prove conclusive sull'hacking criminale basato sulla possibilità di legare le persone agli handle online. Questo non è un "attacco", ma può causare DoS 'gli individui per qualche tempo .

Sospetto che il caso più pertinente alla tua domanda sia la possibilità di confermare se un sito varrà la pena di scendere a compromessi per raggiungere i suoi utenti.

In particolare, sospetto che il fatto di considerare quel particolare vettore possa portare ad alcune considerazioni progettuali specifiche, come avere la "Reimposta password" restituire un messaggio simile a "Richiesta ricevuta", al contrario di "Email inviata".

    
risposta data 17.03.2017 - 09:28
fonte
3

Certo, quando qualcuno sta attaccando l' utente , al contrario del sistema . Quando un utente malintenzionato insegue una persona e conosce l'indirizzo email del suo target, può inserire l'indirizzo e-mail in decine o centinaia di sistemi e vedere come ognuno risponde. In questo modo costruiscono un elenco di sistemi interessanti da attaccare per conoscere l'utente. (Come bonus, nessuno dei sistemi ha attivato nessuno dei loro sistemi anti-hacking, perché c'era un solo tentativo di accesso per un account utente specifico.)

    
risposta data 17.03.2017 - 07:44
fonte
2

Normalmente enumerazione del nome utente è visto come un primo passo verso bruteforce o dizionario- attacchi basati; se sai che un nome utente è valido, allora sai che non stai completamente sprecando il tuo tempo a tentare di accedervi.

    
risposta data 17.03.2017 - 07:41
fonte

Leggi altre domande sui tag

Posso rallentare un attacco di forza bruta codificando i dati di input della password? Numero della carta trapelato, eventuali conseguenze?