Hackeando Dropbox, Google Drive, OneDrive y otros sin necesidad de saber nombre de usuario y contraseña.

  
La compañía Imperva ha mostrado un gran fallo de seguridad en Dropbox, GoogleDrive, OneDrive y otros servicios de almacenamiento en la nube que permite al atacante tener acceso a los archivos e incluso instalar malware sin siquiera tener el nombre de usuario y contraseña.

El problema de seguridad se debe a que la comunicación entre los servidores y el usuario va encriptada, por lo que se asume que si alguien se mete en la comunicación entre el servidor y nosotros este se detecta como un ataque “Man in The middle”.  Sin embargo el método publicado por Imperva lo hace indetectable.

El método consiste en aprovecharse de una de las vulnerabilidad es de estos sitios que para acelerar la conexión del usuario guardan en el navegador un token. De esta forma el usuario puede entrar a manipular sus ficheros sin tener que meter nombre de usuario y contraseña.

Entonces, para explotar esta vulnerabilidad el “hacker” envía un “plugin” al usuario y este lo instala en su navegador, una vez que el usuario entra en el servicio de almacenamiento el token es enviado al atacante que  tendrá las puertas abiertas sin necesidad de saber de quien es el token.

Pero no solo puede sustraer información, puede borrarla, modificarla o crear nuevo contenido, entre ellosmalware.

La parte más peligrosa es que el usuario no tiene forma de saber que alguien esta dentro de su cuenta puesto que el atacante no esta entre el usuario y el servidor sino en una conexión propia. 

Es de suponer que las compañías implicadas lanzarán una actualización o cambiarán la forma de generar el token, para que no sea comprometido.

Loading

Leave a Reply