elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Descubren cómo robar una cuenta de Google con doble autentificación
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Descubren cómo robar una cuenta de Google con doble autentificación  (Leído 2,118 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Descubren cómo robar una cuenta de Google con doble autentificación
« en: 23 Enero 2015, 14:27 pm »

Un fallo de seguridad ha sido descubierto en la consola de administrador de las aplicaciones de Google. Dada esta vulnerabilidad (XSS), los atacantes tenían la posibilidad de desactivar la autenticación en dos pasos (2FA), así como redirigir todos los mensajes de correo electrónico recibidos por una cuenta de Google.

El problema de seguridad fue descubierto por Brett Buerhaus, que notificó a la compañía de Mountain View el pasado 1 de septiembe y, en tan solo 17 días, fue solucionado por Google. Como recompensa por el hallazgo, los de Google han ofrecido al investigador 5.000 dólares, puesto que así lo estipulan en su programa de recompensas de fallos de seguridad. Según esta vulnerabilidad catalogada como crítica, un atacante podía forzar al administrador de cuentas de Google a ejecutar prácticamente cualquier solicitud.

Esta consola, el administrador de cuentas de Google, permite añadir nuevos usuarios, configurar los permisos de cada cuenta, administrar la configuración de seguridad y algunos otros parámetros que, en manos ajenas, comprometen gravemente la seguridad de los usuarios. El administrador de cuentas es utilizado, entre otros, por parte de empresas que utilizan el servicio de correo electrónico de la compañía de Mountain View -Google-, y sirve como panel de control para establecer configuraciones como las anteriormente mencionadas. Concretamente, según este fallo de seguridad los atacantes podían:

•Crear nuevos usuarios con permisos de administrador.

•Desactivar la autentificación en dos factores (2FA) y otros sistemas de seguridad previamente configurados.

•Redireccionar los buzones de correo electrónico para recibir todos los mensajes de una o varias cuentas de correo electrónico.

•Robar una cuenta de correo electrónico, restablecer la contraseña o desactivar los sistemas de seguridad de forma temporal.



Con respecto a este serio problema de seguridad, la compañía de Mountain View ha mostrado un comportamiento impecable. No sólo han cumplido con su programa de recompensas ofreciendo 5.000 dólares al investigador que les ha ofrecido información sobre la vulnerabilidad, sino que han ofrecido además una solución realmente rápida, en tan solo 17 días desde que fuese descubierto el agujero de seguridad. Ahora bien, lo que suena extraño es que Google mantiene a su equipo Project Zero investigando fallos de seguridad de Microsoft, pero su problema ha tenido que descubrirlo alguien ajeno a la compañía.

http://www.adslzone.net/2015/01/23/robar-cuenta-google-doble-autentificacion/


« Última modificación: 23 Enero 2015, 19:28 pm por el-brujo » En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Descubren cómo robar una cuenta de Google con doble autentificación
« Respuesta #1 en: 23 Enero 2015, 19:29 pm »

El titular es un pelín sensacionalista, ya que no logran vulnerar (2FA), simplemente lo deshabilitan desde el panel de control de Google Apps...

Más info y detalles técnicos aquí:

Solucionada vulnerabilidad XSS en el panel de control de Google Apps
http://blog.elhacker.net/2015/01/solucionada-vulnerabilidad-xss-en-el-panel-de-control-google-apps.html


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines