La verdad el otro día me encontraba en la pagina de la Multitienda París intentando comprar algunos productos y había olvidado la contraseña, si #Genius . Por lo que fui a "¿Olvidaste tu clave? y comenzó la historia.
Al momento de dirigirnos a este sitio, observamos que en primero lugar nos pide el rut.
Bueno ingresamos el Rut valido del titular de la cuenta y le ponemos continuar,y te mostrara tu pregunta secreta y te pedirá que ingreses la respuesta ( en el caso de que la sepas, te permitirá cambia la clave directamente), pero si no recuerdas la respuesta tienes otra opción**
Bueno al ir a la *Otra opción, automáticamente se genera un correo, que se envía al la cuenta de email registrada en la base de datos de Paris.cl , aquí es donde empieza la exposición de información demás:
1.- En pantalla sale completo al correo al cual se enviara la supuesta "recuperación de sesión".
2.- Al correo llega la respuesta de la "pregunta secreta" escrita en plano. La cual no caduca ni nada por el estilo, ya que es la respuesta secreta del cliente que en cualquier momento puede ocupar para cambiar la clave cuantas veces quiera con la misma respuesta.
Así como muestra la imagen, es como aparece el correo completo:
( editado para ocultar en correo verdadero de prueba)
¿De que nos sirve esto?, simple con simplemente el Rut de una persona que fuese cliente de la Multitienda Paris ( La gran mayoría de los chilenos ) , obtendríamos sin problema su dirección de correo.
Más ataques?, bueno ya saben su cuenta de correo, Rut y pregunta secreta... Seria un Objetivo preferido para una campaña de Phishing como las que rondan dia a dia.
Pruebas de concepto?.. Vayamos al generador de Ruts validos que nos entregan en internet.http://joaquinnunez.cl/ y saquemos uno
para probar.
Genere 1: ( ocultaremos algunos digitos para velar por el cliente)
1X678XX1-1
Respuestas:
Rut 1: 1X678XX1-1
Finish .
No hay comentarios:
Publicar un comentario