Vulneran el sistema de verificación en dos pasos de Dropbox

DropboxSi bien cada vez son más los servicios que ofrecen un sistema de verificación en dos pasos para añadir una capa de seguridad importante, lo cierto es que Dropbox, una de las aplicaciones que hace uso de este sistema, ha comenzado a ser víctima de una vulnerabilidad que permite saltarse la verificación.

Básicamente se señala que cualquier persona que disponga del nombre de usuario y contraseña del servicio sería capaz de acceder al mismo sin la necesidad de pasar por la verificación en dos pasos con la simple utilización de dos pequeños trucos.

Debido a que Dropbox no verifica los correos electrónicos al accederse a una nueva cuenta, el hacker puede emplear un email similar al existente, colocándolo así por un tiempo en otro sitio, así para usar la cuenta falsa se activa la autentificación de emergencia para generar un código en caso de extravío del móvil. Al intentar registrarse el hacker en el servicio utilizando el email de la víctima y se le pida el código de seguridad, este podrá optar por utilizar la autentificación de emergencia señalando que perdió el móvil y se le enviará el código en cuestión.

Así, como el email del hacker es similar al utilizado por la víctima, el código de emergencia funcionará sin inconvenientes y una vez haya ingresado tendrá la posibilidad de desactivar la verificación en dos pasos y pasar a controlar completamente la cuenta, aunque claro, para poder utilizar el método es necesario conocer la contraseña del usuario. Aún así esto no quita que sea una grave vulnerabilidad, por lo que esperamos que desde Dropbox encuentren una solución lo más pronto posible.

Link: Slashgear.

Loading Facebook Comments ...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *