Telefoonnummers blootgesteld door inconsistente wachtwoordherstelprocessen

Global news Envicom todayaugustus 17, 2019 17

Background
share close

Het gebrek aan standaardisatie van de wachtwoordresetprocedures van webservices kan hackers helpen het telefoonnummer te vinden dat is gekoppeld aan het e-mailadres van een slachtoffer.

Online services hebben mechanismen geïmplementeerd waarmee gebruikers het inlogwachtwoord kunnen wijzigen in het geval ze verliezen of een sterkere willen. Het e-mailadres dat aan het account is gekoppeld, is nodig voor de procedure.

Waar een telefoonnummer beschikbaar is, bieden serviceproviders mobiele tekst- of spraakopties om een ​​tijdelijke code te ontvangen. Dit om te controleren of de rechtmatige eigenaar van het account de procedure voor het opnieuw instellen van het wachtwoord heeft gestart.

Als alternatief kunnen gebruikers de procedure starten door een telefoonnummer op te geven om een ​​e-mailadres te krijgen. In beide gevallen worden alleen stukjes informatie onthuld.

Een paar kritische cijfers

Een plichtmatige aanvaller kan zijn best doen om zoveel mogelijk van de verduisterde personages te vinden en de mogelijkheden te beperken tot het punt waarop ze handmatig kunnen worden geverifieerd.

Met telefoonnummers zijn slechts enkele cijfers zichtbaar, genoeg voor gebruikers met meerdere telefoons om te weten waar ze de code kunnen verwachten. Services verbergen echter verschillende delen en iemand kan de e-mail van een slachtoffer gebruiken om meer cijfers te leren van pogingen om een ​​wachtwoord opnieuw in te stellen op meerdere services.

Aanstootgevende beveiligingsonderzoeker Martin Vigo bestudeerde de methoden voor het opnieuw instellen van wachtwoorden voor populaire websites en ontdekte  dat deze tussen twee en vijf cijfers onthulden; dat zou tot 50% van een Amerikaans telefoonnummer zijn, en meer voor andere landen.

In het geval van een Amerikaans nummer kunnen gegevens uit openbare bronnen helpen bij het vinden van enkele verborgen cijfers. Dat komt omdat het bestaat uit drie blokken die een groter gebied (bijvoorbeeld een grote stad), een centrale (bijvoorbeeld een stad) en de abonnee definiëren.

Vigo ontdekte dat alleen al door het gebruik van middelen van de Noord-Amerikaanse nummerplanbeheerder (NANPA) en de nationale poolbeheerder (NPA) het juiste slachtoffernummer kan worden ingevoerd.

NANPA houdt een bijgewerkte openbare lijst  van regiocodes en hun uitwisselingen bij. De NPA-bron kan helpen bij het weggooien van abonneenummers die niet in gebruik zijn.

Uitwisselingen in San Francisco

Volgens deze methode slaagde Vigo erin om de mogelijke keuze voor het telefoonnummer van een slachtoffer in Tacoma, Washington te verminderen met een eBay- en een LastPass-account.

Hij creëerde een tool genaamd “email2phonenumber” die niet alleen dit proces automatiseert, maar ook een reverse check uitvoert waarbij een telefoonnummer wordt ingevoerd tijdens een wachtwoordresetprocedure om te zien of het overeenkomt met het bekende e-mailadres.

“email2phonenumber is een hulpmiddel waarmee u een gedeeltelijk telefoonnummer kunt opgeven en een lijst kunt krijgen met alle mogelijke geldige telefoonnummers, waarbij niet-bestaande netnummers en uitwisselingsnummers worden verwijderd.”

Amazon en Twitter accepteren telefoonnummers om het wachtwoord opnieuw in te stellen en enkele tekens van het e-mailadres te tonen. Door de gelekte tekens te vergelijken, kan een aanvaller raden of het telefoonnummer dat ze hebben getest, het juiste is.

email2phonenumber  automatiseert dit proces en probeert de captcha-bescherming voor de gek te houden door menselijk gedrag te repliceren. Om de serviceprovider te verwarren, start deze de wachtwoordreset voor verschillende telefoonnummers.

Hetzelfde maskeerpatroon voor alle nummers

Hoewel misbruik van het wachtwoordherstelproces traag kan zijn bij het vinden van Amerikaanse telefoonnummers, benadrukt Vigo dat andere landen telefoonnummers hebben met minder cijfers, zoals IJsland, Estland of San Salvador, waar er slechts zeven zijn.

Aangezien services hun maskering niet aanpassen aan de lengte van het telefoonnummer, zou de methode sneller moeten werken als het slachtoffer is geregistreerd bij een service zoals PayPal, die de eerste en vier cijfers onthult tijdens het proces voor het opnieuw instellen van het wachtwoord.

De oplossing van de onderzoeker is om ondersteuning toe te voegen voor labels die het doel van een e-mailadres en telefoonnummer (persoonlijk, werk) aangeven en deze als een hint gebruiken tijdens de procedure voor het opnieuw instellen van het wachtwoord.

Vigo informeerde online diensten die meer dan twee cijfers van het potentieel voor misbruik lieten zien, vooral wanneer ze deel uitmaken van het gebied en blokken uitwisselen.

“LastPass heeft het masker bijgewerkt om alleen de laatste twee cijfers te tonen die overeenkomen met het abonneenummer. EBay toont nu de eerste en laatste twee cijfers, niet geweldig maar beter dan voorheen.”

PayPal zei dat alles werkt zoals ontworpen en geen actie ondernam, ondanks het onthullen van vijf cijfers wanneer de e-mail van het doel bekend is.

Vigo presenteerde zijn onderzoek ‘ Van e-mailadres naar telefoonnummer ‘ in Las Vegas op de BSides-beveiligingsconferentie (video hieronder) en DEF CON hacker-evenement.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *