Secuestro previo de cuenta

Clase de vulnerabilidad de seguridad

Los ataques de secuestro previo de cuentas son una clase de vulnerabilidad de seguridad relacionada con los servicios en línea . Consisten en anticipar que un usuario se registre en un servicio en línea y registrarse en el servicio en su nombre, para luego tomar el control de su cuenta cuando intenta registrarla por sí mismo. ^{[1] [2] [3]} El ataque se basa en la confusión entre las cuentas creadas por servicios de identidad federados y las cuentas creadas con direcciones de correo electrónico y contraseñas, y en la incapacidad de los servicios para resolver esta confusión correctamente. ^[1]

El secuestro previo se identificó por primera vez como una clase de vulnerabilidad en 2022, según una investigación financiada por el Centro de Respuesta de Seguridad de Microsoft . ^{[4] [5]}

De los 75 servicios en línea analizados, se descubrió que 35 eran vulnerables a diversas formas de vulnerabilidad. Entre los servicios vulnerables se encontraban Dropbox , Instagram , LinkedIn , WordPress y Zoom . La existencia de la vulnerabilidad se informó a todos los proveedores de servicios antes de la publicación del artículo. ^[5]

Véase también

• Inicio de sesión único
• Identidad federada

Referencias

1. Kovacs, Eduard (24 de mayo de 2022). "Los piratas informáticos pueden 'secuestrar previamente' cuentas en línea antes de que los usuarios las creen". Security Week . Consultado el 31 de mayo de 2022 .
2. Brinkmann, Martin (24 de mayo de 2022). "Los ataques previos al secuestro de cuentas de usuario están en aumento". Noticias de tecnología gHacks . Consultado el 31 de mayo de 2022 .
3. Andrew Paverd (23 de mayo de 2022). "Nuevo artículo de investigación: ataques previos al secuestro de cuentas de usuarios web". Centro de respuesta de seguridad de Microsoft . Consultado el 31 de mayo de 2022 .
4. Dickson, Ben (30 de mayo de 2022). «Un estudio revela que decenas de sitios web con mucho tráfico son vulnerables al «secuestro previo de cuentas»». The Daily Swig . Consultado el 31 de mayo de 2022 .
5. Sudhodanan, Avinash; Paverd, Andrew (20 de mayo de 2022). "Cuentas pre-secuestradas: un estudio empírico de fallas de seguridad en la creación de cuentas de usuario en la Web". arXiv : 2205.10174 [cs.CR].