Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
81
)
-
▼
enero
(Total:
81
)
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
Google Daily Listen, una IA que resume tus noticia...
-
MAGIS TV PRO: cómo descargar BlueStacks 5 para pod...
-
Telefónica sufre la filtración de los datos de su ...
-
OFFAT: OFFensive API Tester OWASP
-
Ejemplos ataques DDoS capa 7 con MHDDoS
-
HDMI 2.2: promete 96 Gbps y el fin de los problema...
-
Jeff Bezos competirá con Elon Musk en España por o...
-
Amenazan con exponer ubicaciones de más de 40 mill...
-
¿Qué es Netflow e IPFIX? Monitoreo y Análisis de T...
-
Activar SATA Link Power Management en OPNsense
-
Más de 4.000 puertas traseras usando webshells reg...
-
Automatizar copias de seguridad en OPNsense
-
Optimizar rendimiento de OPNsense: Tunables
-
Microsoft Phi-4, su IA más poderosa que ahora es d...
-
Corsair Xeneon Edge, una pantalla táctil de 14,5" ...
-
Raspberry Pi 5 con 16GB
-
Establecer un clúster OPNsense HA (Alta Disponibil...
-
El fin del soporte para Windows 10 en octubre de 2...
-
Comando netsh en Windows: ejemplos de uso
-
Los cambios en la moderación de Meta permiten llam...
-
AMD anuncia sus nuevos procesadores gaming de sobr...
-
Los nuevos procesadores Core Ultra 200 de Intel de...
-
Razer presenta un prototipo de silla con calefacci...
-
¿Quieres un adaptador de cassette con Bluetooth? ¡...
-
Megafiltración de datos en call center expone a 7 ...
-
Túnel SSH port forwarding: Local, remote y dynamic
-
Herramientas de IA gratuitas que debes conocer
-
ChatGPT reconoce que pierden dinero incluso con la...
-
Hackean los datos de los miembros de la argentina ...
-
Publicar automáticamente de un Feed RSS a Telegram...
-
¿Qué es un webhook?
-
Nvidia presenta las nuevas tarjetas gráficas GeFor...
-
Qué es el rate limit y por qué debes limitar petic...
-
Monitorización HDD y SSD con SMART en OPNsense con...
-
¿Qué es la tecnología HARM de discos duros? ¿Qué i...
-
Alternativas gratuitas al Escritorio Remoto: RustD...
-
Uptime Kuma, monitoreo de servicios y más
-
El CAPTCHA de DOOM
-
La importancia de la pasta térmica del procesador
-
Intel XMP VS AMD EXPO
-
Vulnerabilidad crítica en Nuclei que permite ejecu...
-
Detenido un soldado estadounidense de 20 años que ...
-
DoubleClickjacking: la nueva amenaza de los dobles...
-
OPNsense IPv6 tunnel con Hurricane Electric Tunnel...
-
Configurar Dynamic DNS (DDNS) en OPNsense
-
Cómo escanear documentos y convertirlos a PDF dire...
-
¿Qué es la ventana de contexto en IA?
-
Estados Unidos ofrece 10 millones de dólares por l...
-
Apple pagará 95 millones de dólares para resolver ...
-
Exploit DoS para LDAP Nightmare (CVE-2024-49112)
-
0.0.0.0 : ¿Qué es la Dirección IP “cero” ?
-
-
▼
enero
(Total:
81
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Telefónica, una importante empresa de telecomunicaciones, confirmó recientemente una brecha en su sistema interno de venta de billetes, que ... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
Entre muchos de los más graves problemas (incidentes informáticos) que pueden presentársele a cualquier usuario de computadora, está el de ...
Millones de cuentas vulnerables por fallo en OAuth de Google
Una debilidad en la funcionalidad de «Iniciar sesión con Google» en el sistema OAuth podría permitir a atacantes explotar dominios abandonados por startups extintas para acceder a datos confidenciales. Esta falla afecta a cuentas de antiguos empleados vinculadas a diversas plataformas de software como servicio (SaaS).
¿Qué es OAuth?
¿Cómo funciona OAuth?
En una transacción OAuth satisfactoria intervienen tres entidades:
- El usuario (la persona u organización que autoriza el acceso a sus datos)
- El proveedor de servicios de OAuth (es la aplicación o servicio que almacena los datos y credenciales del usuario)
- El consumidor (la aplicación que solicita el acceso a los datos del usuario)
OAuth utiliza un flujo de trabajo definido para garantizar la seguridad de los datos del usuario y simplificar las solicitudes para el consumidor. En primer lugar, la aplicación que solicita el acceso (consumidor) pide un token de acceso OAuth al proveedor del servicio. Si aún no ha iniciado sesión en el proveedor de servicios, se pide a los usuarios que lo hagan. A continuación, el proveedor de servicios enumera los tipos de datos a los que la aplicación del consumidor pretende acceder y pide al usuario que apruebe o deniegue el acceso. Si el usuario está de acuerdo, el proveedor de servicios envía entonces un token de acceso al consumidor, que lo almacena para futuras solicitudes de acceso. Una vez validado, el token de acceso se utiliza en todas las solicitudes de acceso a los datos del usuario (dentro del ámbito de los permisos concedidos por el usuario).
Los OAuth tokens de acceso caducan, por lo que los proveedores de servicios ofrecen a los desarrolladores una forma de actualizar los tokens de acceso para futuras solicitudes. El plazo de caducidad de un token de acceso lo establece el proveedor de servicios, por lo que su duración depende de los protocolos de seguridad del proveedor de servicios. El OAuth token de acceso debe almacenarse de forma segura porque puede ser utilizado por cualquiera para obtener datos del usuario y realizar funciones en su nombre.
Si el usuario decide revocar el acceso, puede hacerlo a través del proveedor de servicios. Una vez revocado el acceso, el consumidor deberá pedir al usuario que vuelva a autenticarse para obtener cualquier dato almacenado en la aplicación del proveedor de servicios. Si el consumidor sufre una vulneración de datos en la que se revelan los tokens de acceso, el proveedor de servicios podría invalidar proactivamente todos los tokens de acceso para proteger los datos del usuario.
OAuth vs. OpenID
Cuando los consumidores utilizan OAuth, el proveedor de servicios proporciona acceso autorizado a los datos de un usuario solamente después de que dé su consentimiento. OAuth es una forma de compartir datos utilizando un token de autorización proporcionado por el consumidor después de que el usuario verifique sus credenciales. OpenID es distinto de OAuth, pero ambos se utilizan juntos.
El inicio de sesión único (SSO) es una estrategia de seguridad común que utiliza un proveedor para autenticar a los usuarios en varios servicios. OpenID es uno de los protocolos SSO más antiguos, introducido en 2005 para autenticar en LiveJournal. Ha pasado por algunas actualizaciones, pero se consideró demasiado difícil de implementar en comparación con otros métodos de la época, principalmente Facebook Connect. Como Facebook era una marca muy conocida, la mayoría de los desarrolladores se pasaron a Facebook Connect para que los usuarios se sintieran más cómodos autenticándose en sus aplicaciones.
En 2014, OpenID rediseñó su código y posteriormente se incorporó a OAuth. Ahora, OAuth utiliza OpenID como capa de autenticación y OAuth se ocupa de la capa de autorización. El proceso es fluido para el usuario, pero los consumidores pueden integrar más fácilmente OAuth tanto para autenticar a los usuarios como para obtener acceso a los datos de sus cuentas.
OAuth vs. SAML
Un producto anterior similar a OAuth es el Lenguaje de Marcado para Confirmaciones de Seguridad (o SAML, del inglés “Security Assertion Markup Language”), que está basado en XML. La principal diferencia entre SAML y OAuth es que SAML realiza tanto la autenticación como la autorización. OAuth utiliza OpenID como capa de autenticación, pero no gestiona la autenticación por sí mismo. Las aplicaciones que utilizan SAML no necesitan ningún otro servicio para proporcionar autenticación.
Otra diferencia entre los dos protocolos es el lenguaje utilizado para trasladar datos entre servicios. SAML utiliza XML; OAuth utiliza JSON, el formato preferido para las transferencias de datos. La mayoría de los servicios de datos trabajan principalmente con JSON, lo que hace que OAuth sea más fácil de integrar para la mayoría de las empresas.
Descubrimiento e informe inicial
Investigadores de Trufflesecurity identificaron esta brecha de seguridad y la reportaron a Google el 30 de septiembre del año pasado. Inicialmente, Google clasificó el hallazgo como un problema de «fraude y abuso» en lugar de una falla en OAuth o en la función de inicio de sesión. Sin embargo, tras una presentación de Dylan Ayrey, CEO y cofundador de Trufflesecurity, en la conferencia Shmoocon en diciembre, Google reconsideró la situación. Aunque otorgó una recompensa de $1,337 a los investigadores y reabrió el caso, el problema sigue sin resolverse.
Un portavoz de Google recomendó a los usuarios cerrar adecuadamente los dominios obsoletos para evitar riesgos. También instó a las aplicaciones de terceros a implementar identificadores únicos de cuenta (“sub”) para mitigar este tipo de vulnerabilidades.
Naturaleza del problema
Según Ayrey, la vulnerabilidad radica en que el sistema OAuth de Google no protege contra la compra de dominios abandonados por startups. Los nuevos propietarios pueden recrear cuentas de correo electrónico de antiguos empleados y utilizarlas para acceder a servicios como Slack, Notion, Zoom y ChatGPT. Aunque estos correos clonados no permiten acceder a comunicaciones previas, sí posibilitan iniciar sesión en plataformas que dependan del correo electrónico y el dominio alojado para la autenticación.
En una prueba, Ayrey demostró que es factible extraer información sensible de sistemas de recursos humanos, como documentos fiscales, datos de seguros y números de seguridad social. Al analizar la base de datos de Crunchbase, encontró 116,481 dominios disponibles de startups desaparecidas, lo que muestra la magnitud del problema.
Problemas técnicos en el sistema OAuth
El sistema OAuth utiliza una “subafirmación” para identificar de manera única e inmutable a los usuarios. Sin embargo, según Ayrey, existe una tasa de inconsistencia del 0.04%, lo que lleva a servicios como Slack y Notion a ignorarla y depender exclusivamente de las afirmaciones de correo electrónico y dominio. Esto permite que nuevos propietarios de dominios se hagan pasar por antiguos empleados en plataformas SaaS.
Propuestas de solución
Los investigadores sugieren que Google implemente identificadores inmutables, como un ID de usuario permanente y un ID de espacio de trabajo vinculado a la organización original. Además, los proveedores de SaaS podrían aplicar medidas como:
- Verificar fechas de registro de dominios.
- Requerir aprobaciones de nivel administrador para el acceso a cuentas.
- Implementar factores secundarios de autenticación.
Sin embargo, estas soluciones conllevan costos adicionales y mayor complejidad técnica, lo que puede desincentivar su adopción.
Impacto creciente
Esta vulnerabilidad afecta potencialmente a millones de usuarios y miles de empresas, y su alcance crece con el tiempo. Según el informe de Trufflesecurity, existen millones de cuentas de empleados vinculadas a startups desaparecidas cuyos dominios están disponibles para compra.
En Estados Unidos, alrededor de seis millones de personas trabajan para startups tecnológicas, de las cuales el 90% podría cerrar en los próximos años. Aproximadamente el 50% de estas empresas utiliza Google Workspaces, lo que incrementa el riesgo de exposición de datos confidenciales.
Recomendaciones finales
Si trabajas para una startup, asegúrate de eliminar datos confidenciales al dejar la organización y evita usar cuentas laborales para registros personales. Estas prácticas simples pueden reducir significativamente el riesgo de exposición futura.
Fuente: Bleepingcomputer
Vía:
https://blog.underc0de.org/vulnerabilidad-en-el-sistema-oauth-de-google-expone-datos-confidenciales/
https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.