Los sistemas de autenticación en dos pasos son mucho más seguros que los sistemas convencionales. Sin embargo, esto no evita que una cuenta de usuario no pueda ser hackeada utilizando otros medios. Esto es lo que sucede con el sistema de autenticación en dos pasos de Dropbox, que permite a una tercera persona que conozca el usuario y la contraseña de una cuenta saltarse dicho sistema de autenticación.
Antes de explicar en qué consiste el ataque y cómo puede realizarse, hay que señalar que en primer lugar, el atacante deberá tener acceso al número de usuario y contraseña de la cuenta que desea robar. Para realizar esto, puede utilizar keyloggers o bien la creación de páginas falsas para permitir el robo de los credenciales de acceso recurriendo al phishing.
¿Cómo se puede hackear una cuenta?
En primer lugar hay que tener en cuenta que Dropbox no verifica la autenticidad de una cuenta de correo que se utiliza para la creación de una cuenta nueva. El atacante deberá de incluir un «.» en cualquier lugar de la dirección de correo y posteriormente habilitar la autenticación en dos pasos y guardar el código de emergencia que el servicio proporciona.
Una vez hemos creado y guardado el código generado, es necesario salirse de la cuenta «fake» cuya única función es poder obtener el código de emergencia. La autenticación en dos pasos hay que usarla cuando sea posible.
Teniendo la contraseña y el usuario de la cuenta que se desea robar, el atacante deberá iniciar sesión utilizando estos credenciales. Cuando se le solicite la introducción del código que se envía al terminal móvil se debe indicar que se ha perdido el terminal, dando el servicio la opción de la introducción del código de emergencia generado con la cuenta «fake». Puedes ver en qué consiste FIDO2.
De esta forma, el atacante podrá disfrutar de control total sobre la cuenta de usuario, pudiendo configurar nuevamente todos los parámetros de la cuenta, pudiendo incluso secuestrarla.
Fuente | The Hacker News