jueves, 16 de diciembre de 2010

El bug del correo alternativo

Después de que me "hackearan" la cuenta de hotmail xD

http://alguienenlafisi.blogspot.com/2010/12/te-he-hackeado-la-cuenta.html

me puse a investigar sobre algo que aun no me quedaba muy claro. Ya había entendido que mi error fue dejar que mi correo alternativo expirara de forma que otra persona lo pueda registrar como suyo y usarlo para resetear el password de mi cuenta titular. Pero... ¿Se puede saber el correo alternativo de una cuenta ajena?

La respuesta es SI gracias a un ligero bug en la pagina de restablecimiento de contraseña de windows live movile pues almacena en un campo oculto las direcciones de correo alternativo sin ningún tipo de cifrado.

Entonces el procedimiento para averiguar el correo alternativo de cualquier otra cuenta sería este:

Entramos a https://maccount.live.com y le damos click a ¿Olvidó la contraseña?


Escribimos el correo titular, completamos el captcha y le damos a siguiente.


Si el correo tiene configurada una dirección alternativa entonces ahí la veremos pero estará censurada con asteriscos.


Sin embargo si observamos en el código fuente existe un campo oculto llamado "EmailList" que almacena las direcciones alternativas en texto plano xD


Nota: Para ver el código fuente, damos clic derecho sobre la pagina y luego en la opción "Ver código fuente", si estamos en Firefox o Internet Explorer, o "Inspeccionar elemento", si estamos en Google Chrome.

Así de fácil es averiguar el correo alternativo de cualquier usuario de hotmail. Luego si ese correo esta disponible, ya sea por que expiró por falta de uso o por que nunca existió realmente, entonces otro lo puede registrar y usarlo para resetear la contraseña del correo titular. Pero si ya está registrado aún se puede intentar buscar el alternativo del alternativo y así en cadena...

En Metasploiter acaban de publicar un vídeo explicando todo el procedimiento. Pueden verlo en este link:

http://metasploiter.blogspot.com/2010/12/bug-hotmail-al-descubierto.html

Y tu ¿Te acuerdas que pusiste de correo alternativo? ¿No? Pues mejor ve a echarle un vistazo. No vaya a ser una dirección falsa o un correo que creaste y nunca más volviste a usar. Si es así entonces eres vulnerable }:P

Saludos.

Actualización:

1. Publicada una forma de evadir el captcha ;)

http://alguienenlafisi.blogspot.com/2010/12/saltar-captcha-en-maccountlivecom.html

2. El bug ya fue corregido :)

6 comentarios:

  1. Ya no sirve el bug, lo corrigieron, un saludo ;)

    ResponderEliminar
  2. Es cierto xD olvidé ponerlo en la actualización :)

    Saludos.

    ResponderEliminar
  3. es cierto, no sirve el bug saludos de tu colega de la fisi :)

    ResponderEliminar
  4. no sireve otrada otra forma

    ResponderEliminar
  5. abra otra forma de ver el correo alternativo?

    ResponderEliminar