Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
14 de Agosto, 2014    General

Check Usernames: ¿Qué identidad te puedo robar?

Repetir contraseña, repetir información personal, repetir la dirección de correo electrónico, pero sobre todo repetir el nombre del usuario (o login) es una de las cosas más comunes en la gestión de identidades personales que la gente hace en Internet. Esto es bueno para establecer una marca personal en la red, pero también para que se puedan localizar fácilmente las identidades de una persona a lo largo de múltiples sitios de Internet.

Esto es especialmente importante cuando alguien está pensando en realizar un ataque dirigido contra una organización de la que se ha sido capaz de sacar una lista de los empleados objetivos. ¿Por qué no atacarle por alguna de sus cuentas o identidades online?

Ahí se podrían utilizar, por ejemplo, las contraseñas que salen filtradas en los grandes dumpeos de identidades de Internet, que tiene en su base de datos Have I Beem Pwned? Es más, no solo es más que probable que haya alguna identidad con la misma contraseña, sino que además es más que probable que ni se acuerde de esas cuentas que se creo, así que se puede encontrar cualquier pedazo de información más que útil en ellas.

Figura 1: Dumpeos de bases de datos de identidades en Have I been Pwnd?

Para localizar esas otras cuentas uno se puede volver loco. La gente se saca cuentas en sitios insospechados que pueden ir desde un foro de un blog, a un club temático sobre alguna de las aficiones del objetivo. Es una tarea ardua que los especialistas en doxing se dedican a automatizar en lo posible y a cuidar en detalle.

Los trucos para buscar esas cuentas son diversos. Pueden ir desde con el correo del objetivo buscar un leak de información en el sistema de registro de nueva cuenta de un sitio - como contaron en Security By Default con Ashley Madison -, o en el de recuperación de contraseña, o en cualquier otro lugar. Por eso es importante no usar nunca correos electrónicos de la empresa en la creación de cuentas de servicios de Internet.

Figura 2: El servicio de recuperación de contraseñas de menéame te dice si tiene cuenta o no

A veces es tan sencillo como simplemente buscar la URL con el nombre del usuario, algo que utilizan muchos sitios web en la red, así que no sería nada difícil saber donde se han creado esas cuentas. Una web que permite localizar un nombre de usuario en una lista de 300 sitios es Check Usernames, que utiliza estos pequeños leaks de información para localizar los perfiles de un usuario en los distintos lugares de la red.

Figura 3: Check Usernames te lleva a los perfiles de un determinado nombre de usuario

En el mundo del social media, se hace justo para lo contrario, los responsables de marca buscan reservarse los usuarios de la imagen corporativa, y los BlackSEO robarle las cuentas a la competencia. Por supuesto, también se buscan usuarios de sitios que en el futuro puedan ser de utilidad, como los nombres de usuario que puedan usarse para engaños, como support, help, admin, root, etcétera, o los de nombres muy significativos que puedan valer mucho dinero en el futuro, como sex o los nombres de usuarios en Twitter cortos que tan valiosos se han vuelto.

Figura 4: Sitos con el usuario Viagra creado y sitios con él disponible

Si tienes un nombre de usuario, que haya aparecido en un correo electrónico, en una cuenta de una web, o en el metadato de un fichero ofimático, localizar cuentas con ese nombre de usuario en otros servicios de Internet puede ser una buena idea para ver qué sale.

Fuente http://www.elladodelmal.com/2014/08/check-username-que-identidad-te-puedo.html
de Chema Alonso
Palabras claves , , , , , , ,
publicado por alonsoclaudio a las 11:39 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Octubre 2024 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad