Expertos en seguridad desvelan en Def Con 2015 una vulnerabilidad que permite robar las cuentas de Dropbox, Google Drive y OneDrive sin saber las contraseñas.
Vamos que tienes que acceder al ordenador del usuario y ejecutar código para robar las credenciales, si las credenciales no son contraseñas pero viene a ser lo mismo.
Sobre que la única solución es borrar la cuenta tampoc es cierto, al menos en Google, si cambias el password todas las aplicaciones quedan automáticamente desautorizadas y tienes que volver a hacer login y a obtener un nuevo token para ellas.
En estos artículos siempre se ponen cachondos de entrada pero se van desinflando según se acercan al método de entrada. De hecho aquí ni se aclara si el usuario tiene que interactuar con el email enviado, en cuyo caso estaríamos ante un ataque man-in-the-middle de toda la vida.
Usar un navegador con un pluging peligroso y recibir un correo con un archivo malicioso y abrirlo y .... Entonces te he robado cosas...
To get access to that unique log-in file, the hackers exploit a vulnerability in the browser plug-ins. They send a malicious email with a tool named Switcher attached in that email to exploit that plug-in vulnerability.
"According to Imperva, all a hacker would have to do to access a user’s content, is to gain access to their authentication token, which is in a unique log-in file. [...] To get access to that unique log-in file, the hackers exploit a vulnerability in the browser plug-ins."
Si puedes acceder a un fichero del disco explotando una vulnerabilidad en un plug-in sacar el token de estos servicios es trivial... pero aceptamos barco.
Y esa es una de las razones por las que yo no uso esos servicios en concreto. La invulnerabilidad total es imposible o casi. Si te conviertes en un servicio popular estás jodido.
#2 Qué tontería. Normalmente son los servicios pequeños los peligrosos o los que suelen ser hackeados pero que, como a nadie le importa, no se comenta.
Mira, yo no sé en que consiste este hackeo. Pero pongo la mano en el fuego a que no consiste en indicar el nombre de la cuenta y darle a un botoncito. Google y los otros gigantes gastan toneladas de millones de € en seguridad y aunque siempre hay fallos casi siempre son cosas raras o simplemente "teóricas".
#4 Aunque fuera cierto lo que dices, que no lo es, hay más razones. No solo me preocupa que vean mis cosas los ajenos a esas empresas y Guguel no es conocida precisamente por respetar la intimidad.
#10 Estoy completamente de acuerdo, pero tenemos que tener en cuenta que un titular es un titular y hasta que no se sepa en que consiste ese hackeo para mi es más bien juanqueo.
Comentarios
sin saber las contraseñas.
Si las sabes, no es hackear. Es loguearse.
#1 plas plas plas
#1 Roban un apartamento sin tener las llaves
#1 ¿Sin saber ni averiguar como parte del hackeo? Se puede robar una casa robando primero las llaves o sin llaves.
Vamos que tienes que acceder al ordenador del usuario y ejecutar código para robar las credenciales, si las credenciales no son contraseñas pero viene a ser lo mismo.
Sobre que la única solución es borrar la cuenta tampoc es cierto, al menos en Google, si cambias el password todas las aplicaciones quedan automáticamente desautorizadas y tienes que volver a hacer login y a obtener un nuevo token para ellas.
En estos artículos siempre se ponen cachondos de entrada pero se van desinflando según se acercan al método de entrada. De hecho aquí ni se aclara si el usuario tiene que interactuar con el email enviado, en cuyo caso estaríamos ante un ataque man-in-the-middle de toda la vida.
Usar un navegador con un pluging peligroso y recibir un correo con un archivo malicioso y abrirlo y .... Entonces te he robado cosas...
To get access to that unique log-in file, the hackers exploit a vulnerability in the browser plug-ins. They send a malicious email with a tool named Switcher attached in that email to exploit that plug-in vulnerability.
"According to Imperva, all a hacker would have to do to access a user’s content, is to gain access to their authentication token, which is in a unique log-in file. [...] To get access to that unique log-in file, the hackers exploit a vulnerability in the browser plug-ins."
Si puedes acceder a un fichero del disco explotando una vulnerabilidad en un plug-in sacar el token de estos servicios es trivial... pero aceptamos barco.
Y esa es una de las razones por las que yo no uso esos servicios en concreto. La invulnerabilidad total es imposible o casi. Si te conviertes en un servicio popular estás jodido.
#2 Qué tontería. Normalmente son los servicios pequeños los peligrosos o los que suelen ser hackeados pero que, como a nadie le importa, no se comenta.
Mira, yo no sé en que consiste este hackeo. Pero pongo la mano en el fuego a que no consiste en indicar el nombre de la cuenta y darle a un botoncito. Google y los otros gigantes gastan toneladas de millones de € en seguridad y aunque siempre hay fallos casi siempre son cosas raras o simplemente "teóricas".
#4 Aunque fuera cierto lo que dices, que no lo es, hay más razones. No solo me preocupa que vean mis cosas los ajenos a esas empresas y Guguel no es conocida precisamente por respetar la intimidad.
#4 En estas conferencias no hablan precisamente aficionados... cuando se hace un anuncio es verdad y se demuestra in situ.
#10 Estoy completamente de acuerdo, pero tenemos que tener en cuenta que un titular es un titular y hasta que no se sepa en que consiste ese hackeo para mi es más bien juanqueo.