Tras publicar este jueves los
fallos de privacidad y seguridad de Uber, en el que explicaba en un artículo que no se verifica la dirección de correo electrónico antes de crear una cuenta de
Uber o de enviar información personal del uso de la cuenta, muchos se pusieron en contacto conmigo para contarme otro buen montón de servicios que no verifican la cuenta de correo electrónico antes de comenzar a usar el servicio o enviarte notificaciones con información confidencial. De todos ellos, el que más me sorprendió fue
PayPal, un servicio que se promociona como muy seguro, y que cae en un fallo de seguridad tan simple y peligroso para el dueño de la cuenta como este.
 |
| Figura 1: PayPal. Di adiós a tu dinero si te confundes con el e-mail |
Para comprobarlo le pedí a mi compañero
Pablo que creara una cuenta en un minuto para ver si funcionaba de esa forma. decidimos crear una cuenta de
PayPal asociada a una dirección de correo electrónico con una dirección que no tenemos y ver si podíamos utilizar esa cuenta de
PayPal. Para ello, primero comprobamos que
XXXX.rodriguez86@gmail.com es una cuenta que existe en
Gmail. Como se puede ver en la siguiente imagen el servicio nos solicita la contraseña, por lo que podemos concluir que la cuenta existe.
 |
| Figura 2: Buscamos una cuenta que exista para la demo |
Ahora vamos a
PayPal y comprobamos los tipos de cuenta que existen a la hora de hacer una nueva. Elegimos la cuenta personal, que es rápida y gratuita. Una vez seleccionada el tipo de cuenta se nos solicitarán una serie de datos. Los datos que nos solicitan para crear una cuenta de
PayPal y comenzar a usarla son:
País, dirección de e-mail y la contraseña.
 |
| Figura 3: Tipos de cuenta en PayPal |
Al contrario de lo que pasa con el
e-mail, con la contraseña nos pide que la introduzcamos dos veces, para que no nos confundamos, es decir, por precaución para evitar el fallo. Sin embargo, y como se verá más delante, en el caso del
e-mail es importante no equivocarse, ya que podríamos acabar creando una cuenta para otro usuario de nuestro proveedor de correo electrónico.
 |
| Figura 4: Se verifica la password, pero no la dirección de e-mail |
Completamos el resto del registro con los datos más personales del usuario. Si nos fijamos, el número de teléfono móvil puede ser inventado también, no hay tampoco una comprobación de este número para poder comenzar a usar la cuenta. Es decir, no es necesario verificar ninguna información para comenzar a usar la cuenta de
PayPal. Pero si te equivocas en el
e-mail, la has liado gorda.
 |
Figura 5: Completando la creación de la cuenta.
El número de teléfono no se verifica tampoco. |
Una vez nos registramos en
PayPal, podríamos esperar a tener que verificar el correo electrónico, pero si nos vamos al sitio web de
PayPal podremos iniciar sesión sin ningún problema. Estamos utilizando el
e-mail de un usuario de
Gmail que no somos nosotros y lo tenemos vinculado a nuestra cuenta de
PayPal, por lo que si el verdadero dueño, cuya dirección de
e-mail es
XXX.rodriguez86@gmail.com (que existe) puede robarnos la cuenta, ¿Cómo? Fácil, pidiendo recuperar la contraseña a través del correo electrónico.
 |
| Figura 6: Se puede iniciar sesión. La cuenta está funcionando. |
Como se ve en la imagen siguiente podemos recuperar la contraseña a través de esa cuenta de correo electrónico.
 |
| Figura 7: Recuperación de cuenta por medio de correo electrónico |
Al no haberse hecho una verificación del correo electrónico, el propietario real del correo podría quitarnos la cuenta simplemente restaurando la contraseña con el enlace que recibirá en su
e-mail.
¿Y si hubiera puesto el número teléfono correcto?
Pues tu gozo en un pozo. En las opciones de recuperación de cuenta ves que hay una opción que dice
"No me acuerdo de la dirección de e-mail" pero no, no sirve para que te manden un código
OTP por
SMS y solo te comprueban tres direcciones de correo electrónico que te puedan sonar.
 |
| Figura 8: Direcciones de e-mail para recuperar una dirección de e-mail |
Y si has pesado que en la última opción de recuperación tal vez podrías recuperar la cuenta por medio de un
SMS OTP, pues tampoco,
PayPal vuelve a solicitar tres direcciones de correo electrónico para ver si alguna de ellas que ya tienes es la que asociaste a tu cuenta de
PayPal. Así que, si te equivocas en el correo electrónico, comienzas a usar la cuenta, metes dinero en ella, puede que te quedes sin él, porque el dueño del correo electrónico de verdad podrá recuperar la cuenta y gastarse tu dinero.
 |
| Figura 9: Más direcciones de e-mail para recuperar contraseña o dirección de e-mail |
Este fallo de no verificar la dirección de correo electrónico no se comete solo cuando se hace el registro de una cuenta, sino cuando se configura para recibir notificaciones. Cualquier sistema que envíe notificaciones con información confidencial - como sistemas bancarios, o aplicaciones con información personales - primero debería verificar que el dueño del correo es el usuario que es el dueño de la cuenta, y así evitar problemas de estos tipos.
Saludos Malignos!
No comments:
Post a Comment