Esta entrada tiene más de 28 meses,
quizá las informaciones que contiene no siguen vigentes.

Cuidado con los ataques por Social Login

Cuidado con los ataques por Social Login
Lectura : +/-4 min

 

Jamás me gusto los ‘social login’, estos atajos que permiten a cualquiera registrarse en una página web, servicio sin tener que entrar un email ni una contraseña porque la página recupera todas las informaciones desde la red social elegida (Facebook, twitter, google+, LinkedIn, …) y es como una firma y no me gusta por al menos 3 razones:

  1. 1 llave para 50 puertas no me parece sabio
  2. Es una invitación a recibir spam sin saber de dónde viene ni poder controlarlo
  3. Cuando el social login no funciona (si, es posible) no se puede recuperar el acceso

Ahora voy a poder añadir una cuarta razón para que me disguste aún más los social login y esta vez, es por un problema de seguridad bastante importante porque cualquiera puede usurpar la identidad de cualquiera con este truco.

Los ingenieros en seguridad de IBM se han dado cuenta de un fallo en los protocolos y más concretamente en los de LinkedIn en el ejemplo que dan y funciona de la manera siguiente:

  1. El señor X tiene una cuenta abierta en una página web que permite el social login (slashdot por ejemplo)
  2. Se conecta mediante su cuenta Google+ (o Facebook o Twitter, da igual)
  3. En su perfil, indica su mail que todo el mundo puede leer
  4. Como todos, el señor X no puede estar registrado en todas las redes social
  5. Ahora entra en escena el villano señor Y que ha visitado el perfil de X y entonces conoce su mail
  6. El señor Y decide abrir una cuenta en LinkedIn utilizando el mail del señor X
  7. LinkedIn envía un mail de confirmación al mail indicado pero no sirve de nada porque incluso sin ser autentificado ya está en la base de usuarios de LinkedIn
  8. El señor Y entra en slashdot, elije registrarse por social login y más concretamente con LinkedIn y funciona, está en la cuenta del señor X

A partir de aquí puede ocurrir cualquier cosa y lo mejor que se puede esperar es que nada demasiado privado este indicado o que no haya conversaciones de tipo personal directamente a la vista porque en un par de minutos pueden convertirse en pública. Peor, el pirata podría perfectamente recusar los accesos a la cuenta por las otras redes sociales, cambiar el mail de acceso y añadir una contraseña bien chunga, el señor X no podría recuperar el acceso a su propia cuenta.

SpoofedMe Social Login

SpoofedMe Social Login

Si pero, nadie es tan tonto como para indicar su mail en un servicio, página web, red social, foro,…. Esta misma mañana estaba leyendo los posts de mis contactos de G+ y no solamente había un mail indicado pero también una dirección y, como es muy común, las redes sociales en las que la persona está activa y en un par de posts está indicado que foros frecuenta y que servicios utiliza. No tengo intención amargarle la vida pero alguien malintencionado podría perfectamente hacerlo sin conocimientos técnicos.

Que se puede hacer para evitar esto? Muy simple, en primer lugar no indicar nunca en ningún sitio el mail que os sirve para Facebook, Twitter, G+… Si es una necesidad absoluta indicar uno, se puede indicar otro sin problema. No registrarse en una web por social login, se tardara 4 segundos más en entrar pero es más seguro, se da menos informaciones privadas a la web en cuestión y evita recibir spam.

Por los que no pueden vivir sin el social login porque en un clic se entra en cualquier sitio pueden optar por un programa de tipo 1password que permite hacer algo muy parecido con la ventaja que se puede añadir contraseñas de la muerte imposible de adivinar pero es un programa de pago.

Quizá te guste

Compartir