Hackeada la autenticación de dos factores de Dropbox
Una vulnerabilidad descubierta por investigadores de Q-CERT permite hackear la autenticación en dos pasos implementada en Dropbox para aumentar la seguridad de las cuentas de acceso a sus servicios, solicitando un código servido mediante una aplicación móvil además del nombre de usuario y la contraseña al iniciar sesión.
El atacante debe conocer el nombre de usuario y la contraseña de la cuenta objetivo de Dropbox, algo posible mediante phishing como se ha demostrado en el pasado.
Desde ahí, saltarse esta autenticación es trivial según los investigadores, ya que existen una vulnerabilidad crítica que se produce porque el servicio de alojamiento (uno de los más populares de la Red) no verifica la autenticidad de las direcciones de correo electrónico utilizadas para firmar una nueva cuenta.
Por ello, un atacante puede crear una nueva cuenta falsa similar a la del objetivo y añadir un punto en cualquier parte de la dirección de correo, habilitar la autenticación de dos factores y obtener el código que empleará en la cuenta real del usuario atacado la que podrá controlar totalmente.
No es el primer problema de seguridad de Dropbox, un servicio de gran éxito por su capacidad de sincronización y alojamiento en nube que no está pasando desapercibido por las grandes redes de spam y malware.