Publicado por & archivado en Seguridad.

Un fallo de diseño en los protocolos de seguridad de loteriasyapuestas.es, permite que cualquiera pueda bloquear las cuentas de los usuarios.

Esta mañana he recibido un email de loteriasyapuestas.es en el que me decían…

 

Se han superado el número máximo de intentos fallidos para responder a tu pregunta secreta, por lo que tu cuenta en loteriasyapuestas.es ha sido bloqueada por el administrador.

Está acción se ha llevado a cabo por tu propia seguridad. Para más información o para volver a habilitar tu cuenta ponte en contacto con LAE a través de los canales que ponemos a tu disposición en loteriasyapuestas.es

 

Vaya, pues resulta que yo no he intentado recuperar mi contraseña, ni he respondido a ninguna «pregunta secreta»… ¿Entonces?

 

Pues lo que parece es que quién ha diseñado el protocolo de seguridad, ha pensado que era buena idea bloquear la cuenta de un usuario si alguno de los más de 3000 millones de usuarios de internet que hay en el mundo, probaba a responder las preguntas de seguridad para conseguir el acceso a mi cuenta.

Lo realmente extraño es que no haya sucedido antes, de hecho, intentos de acceder a mis cuentas, intencionados o por despiste, los he tenido en muchos de los servicios que uso en Internet, especialmente me pasa con mi cuenta de Youtube, en la que recibo constantemente emails diciendo que si no he solicitado el reinicio de la contraseña, que ignore el mensaje. De haberme bloqueado la cuenta cada vez, hace tiempo que habría desistido de usar Youtube.

Parece que a los señores administradores de loteriasyapuestas.es, no se les ha ocurrido ninguna de estas cosas:

  1. Enviar un email de verificación para restaurar la cuenta.
  2. Enviar un SMS de verificación para restaurar la cuenta.
  3. Bloquear la IP que intenta restaurar la contraseña, y avisarme del intento de acceso.
  4. Bloquear el proceso de recuperación de la contraseña, pero no la cuenta, y avisarme del intento de acceso.
  5. Bloquear temporalmente el proceso de recuperación de la contraseña, y avisarme del intento de acceso.
  6. Validar los usuarios con firma digital de la FNMT o DNIe, ya que de todas formas te exigen validar tu DNI para usar su servicio.
  7. Cualquier otra solución razonable que no suponga el bloqueo de la cuenta de un usuario por lo que hace un tercero.

Permitir el acceso libre desde un enlace para contestar las preguntas de recuperación y bloquear la cuenta si se falla, es un claro y evidente error de diseño del procedimiento de seguridad. Puede que sea muy seguro evitando el acceso indebido, pero lamentablemente es tanto o más eficaz bloqueando el acceso de los usuarios legítimos por la acción de un tercero.

Además, este comportamiento podría utilizarse para provocar una denegación de servicio masiva.

Los usuarios de acceso son nombres a la elección del usuario o su DNI. Para lo primero, mucha gente usa su nombre, apellido o alguna combinación, por ejemplo, alguien que se llamara Javier Fernández, podría poner jfernandez de usuario.

Debido a esto, cualquiera que quisiera explotar este error, podría irse al INE, sacar las bases de datos públicas de nombres y apellidos y mediante un sencillo programa, probar a introducir nombres de usuario formados por nombre, incial+apellido, nombre + secuencia de dos o tres dígitos, etc.

También es posible utilizar un generador de DNIs, ya que los algoritmos para obtener las letras de validación son públicos.

Para evitar este uso masivo, el sitio web de loteriasyapuestas.es tiene un CAPTCHA de baja tecnología, que puede ser resuelto fácilmente con aplicaciones como captcha brotherhood, captcha type-in y otras aplicaciones para resolución automática, pero aunque pusieran otros más complicados, podría seguirse resolviendo mediante las APIs para resolución de CAPTCHAS mediante personas.

Sólo por probar he introducido unos pocos nombres de usuario al azar usando apellidos e iniciales con apellidos a ver si me dejaba introducir las preguntas de seguridad y… ¡bingo!

Los nombres que la gente pone de usuario son de lo más predecibles.

Por supuesto que no he bloqueado la cuenta de nadie, pero esto me deja con preocupación sobre la seguridad del resto de ese sitio que almacena mis datos personales, teléfono, cuenta bancaria y ¡mi dinero!

Que se pueda producir una denegación de servicio  en un sistema, no significa que alguien vaya hacerlo, en el caso de mi cuenta supongo que habrá sido algo accidental, pero… ¿Por qué dar esa posibilidad a cualquiera?

Tras varios intercambios de emails con el soporte de loteriasyapuestas.es, en el que se me solicitaba enviar copia escaneada de mi DNI, cosa que nunca hago, lo que me ha quedado claro es:

  1. Que no tienen posibilidad de acceso mediante firma de la FNMT o DNIe.
  2. Que hacen las preguntas de seguridad, sin antes verificar que es realmente el usuario quién lo solicita, enviando una solicitud por email.
  3. Que por tanto, el sistema permite que cualquiera pueda bloquear el acceso de un usuario, sin la intervención de este.

Si bien la nueva contraseña se envía al email registrado, según me han explicado, lo que impediría que alguien pudiera conseguir acceso, de solicitar una autorización previa para recuperar la contraseña, se evitaría el bloqueo de las cuentas.

 

 

 

Un Comentario para “Vulnerabilidad de loteriasyapuestas.es permite bloquear cuentas de los usuarios”

  1. Antonio Hidalgo Navarro

    Desde ayer no puedo acceder a la web y me sale un mensaje en el que se me dice que no tengo permiso para acceder al servidor de loterias y apuestas .es. Doy por hecho que es un error del servidor y no otra la razón( lo digo por las noticias aparecidas en los medios).

    Responder

Responder a Antonio Hidalgo Navarro Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *