Un fallo de dise\u00f1o en los protocolos de seguridad de loteriasyapuestas.es, permite que cualquiera pueda bloquear las cuentas de los usuarios.<\/p>\n
Esta ma\u00f1ana he recibido un email de loteriasyapuestas.es en el que me dec\u00edan…<\/p>\n
<\/p>\n
Se han superado el n\u00famero m\u00e1ximo de intentos fallidos para responder a tu pregunta secreta, por lo que tu cuenta en loteriasyapuestas.es ha sido bloqueada por el administrador.<\/p>\n
Est\u00e1 acci\u00f3n se ha llevado a cabo por tu propia seguridad<\/strong>. Para m\u00e1s informaci\u00f3n o para volver a habilitar tu cuenta ponte en contacto con LAE a trav\u00e9s de los canales que ponemos a tu disposici\u00f3n en loteriasyapuestas.es<\/p><\/blockquote>\n
<\/p>\n
Vaya, pues resulta que yo no he intentado recuperar mi contrase\u00f1a, ni he respondido a ninguna \u00abpregunta secreta\u00bb… \u00bfEntonces?<\/p>\n
<\/p>\n
Pues lo que parece es que qui\u00e9n ha dise\u00f1ado el protocolo de seguridad, ha pensado que era buena idea bloquear la cuenta de un usuario si alguno de los m\u00e1s de 3000 millones de usuarios de internet que hay en el mundo<\/a>, probaba a responder las preguntas de seguridad para conseguir el acceso a mi cuenta.<\/p>\n
Lo realmente extra\u00f1o es que no haya sucedido antes, de hecho, intentos de acceder a mis cuentas, intencionados o por despiste, los he tenido en muchos de los servicios que uso en Internet, especialmente me pasa con mi cuenta de Youtube, en la que recibo constantemente emails diciendo que si no he solicitado el reinicio de la contrase\u00f1a, que ignore el mensaje. De haberme bloqueado la cuenta cada vez, hace tiempo que habr\u00eda desistido de usar Youtube.<\/p>\n
Parece que a los se\u00f1ores administradores de loteriasyapuestas.es, no se les ha ocurrido ninguna de estas cosas:<\/p>\n
\n
- Enviar un email de verificaci\u00f3n para restaurar la cuenta.<\/li>\n
- Enviar un SMS de verificaci\u00f3n para restaurar la cuenta.<\/li>\n
- Bloquear la IP que intenta restaurar la contrase\u00f1a, y avisarme del intento de acceso.<\/li>\n
- Bloquear el proceso de recuperaci\u00f3n de la contrase\u00f1a, pero no la cuenta, y avisarme del intento de acceso.<\/li>\n
- Bloquear temporalmente el proceso de recuperaci\u00f3n de la contrase\u00f1a, y avisarme del intento de acceso.<\/li>\n
- Validar los usuarios con firma digital de la FNMT o DNIe, ya que de todas formas te exigen validar tu DNI para usar su servicio.<\/li>\n
- Cualquier otra soluci\u00f3n razonable que no suponga el bloqueo de la cuenta de un usuario por lo que hace un tercero.<\/li>\n<\/ol>\n
Permitir el acceso libre desde un enlace para contestar las preguntas de recuperaci\u00f3n y bloquear la cuenta si se falla, es un claro y evidente error de dise\u00f1o del procedimiento de seguridad. Puede que sea muy seguro evitando el acceso indebido, pero lamentablemente es tanto o m\u00e1s eficaz bloqueando el acceso de los usuarios leg\u00edtimos por la acci\u00f3n de un tercero.<\/p>\n
Adem\u00e1s, este comportamiento podr\u00eda utilizarse para provocar una denegaci\u00f3n de servicio masiva.<\/p>\n
Los usuarios de acceso son nombres a la elecci\u00f3n del usuario o su DNI. Para lo primero, mucha gente usa su nombre, apellido o alguna combinaci\u00f3n, por ejemplo, alguien que se llamara Javier Fern\u00e1ndez, podr\u00eda poner jfernandez de usuario.<\/p>\n
Debido a esto, cualquiera que quisiera explotar este error, podr\u00eda irse al INE, sacar las bases de datos p\u00fablicas de nombres y apellidos y mediante un sencillo programa, probar a introducir nombres de usuario formados por nombre, incial+apellido, nombre + secuencia de dos o tres d\u00edgitos, etc.<\/p>\n
Tambi\u00e9n es posible utilizar un generador de DNIs, ya que los algoritmos para obtener las letras de validaci\u00f3n son p\u00fablicos.<\/p>\n
Para evitar este uso masivo, el sitio web de loteriasyapuestas.es tiene un CAPTCHA de baja tecnolog\u00eda, que puede ser resuelto f\u00e1cilmente con aplicaciones como captcha brotherhood, captcha type-in y otras aplicaciones para resoluci\u00f3n autom\u00e1tica, pero aunque pusieran otros m\u00e1s complicados, podr\u00eda seguirse resolviendo mediante las APIs para resoluci\u00f3n de CAPTCHAS mediante personas<\/a>.<\/p>\n
S\u00f3lo por probar he introducido unos pocos nombres de usuario al azar usando apellidos e iniciales con apellidos a ver si me dejaba introducir las preguntas de seguridad y… \u00a1bingo!<\/p>\n
Los nombres que la gente pone de usuario son de lo m\u00e1s predecibles.<\/p>\n
Por supuesto que no he bloqueado la cuenta de nadie, pero esto me deja con preocupaci\u00f3n sobre la seguridad del resto de ese sitio que almacena mis datos personales, tel\u00e9fono, cuenta bancaria y \u00a1mi dinero!<\/p>\n
Que se pueda producir una denegaci\u00f3n de servicio \u00a0en un sistema, no significa que alguien vaya hacerlo, en el caso de mi cuenta supongo que habr\u00e1 sido algo accidental, pero… \u00bfPor qu\u00e9 dar esa posibilidad a cualquiera?<\/p>\n
Tras varios intercambios de emails con el soporte de loteriasyapuestas.es, en el que se me solicitaba enviar copia escaneada de mi DNI, cosa que nunca hago, lo que me ha quedado claro es:<\/p>\n
\n
- Que no tienen posibilidad de acceso mediante firma de la FNMT o DNIe.<\/li>\n
- Que hacen las preguntas de seguridad, sin antes verificar que es realmente el usuario qui\u00e9n lo solicita, enviando una solicitud por email.<\/li>\n
- Que por tanto, el sistema permite que cualquiera pueda bloquear el acceso de un usuario, sin la intervenci\u00f3n de este.<\/li>\n<\/ol>\n
Si bien la nueva contrase\u00f1a se env\u00eda al email registrado, seg\u00fan me han explicado, lo que impedir\u00eda que alguien pudiera conseguir acceso, de solicitar una autorizaci\u00f3n previa para recuperar la contrase\u00f1a, se evitar\u00eda el bloqueo de las cuentas.<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Un fallo de dise\u00f1o en los protocolos de seguridad de loteriasyapuestas.es, permite que cualquiera pueda bloquear las cuentas de los usuarios.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[142],"tags":[],"class_list":["post-804","post","type-post","status-publish","format-standard","hentry","category-seguridad"],"_links":{"self":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts\/804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/comments?post=804"}],"version-history":[{"count":0,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/posts\/804\/revisions"}],"wp:attachment":[{"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/media?parent=804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/categories?post=804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/intervia.com\/doc\/wp-json\/wp\/v2\/tags?post=804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}