Repetir contraseña, repetir información personal, repetir la dirección
de correo electrónico, pero sobre todo repetir el nombre del usuario (o login) es una de las cosas más comunes en la gestión de identidades personales que la gente hace en Internet.
Esto es bueno para establecer una marca personal en la red, pero
también para que se puedan localizar fácilmente las identidades de una
persona a lo largo de múltiples sitios de Internet.
Esto es especialmente importante cuando alguien está pensando en
realizar un ataque dirigido contra una organización de la que se ha sido
capaz de sacar una lista de los empleados objetivos. ¿Por qué no atacarle por alguna de sus cuentas o identidades online?
Ahí se podrían utilizar, por ejemplo, las contraseñas que salen filtradas en los grandes
dumpeos de identidades de
Internet, que tiene en su base de datos
Have I Beem Pwned?
Es más, no solo es más que probable que haya alguna
identidad con la
misma contraseña, sino que además es más que probable que ni se acuerde
de esas cuentas que se creo, así que se puede encontrar cualquier pedazo
de información más que útil en ellas.
|
Figura 1: Dumpeos de bases de datos de identidades en Have I been Pwnd? |
Para localizar esas otras cuentas uno se puede volver loco. La gente se
saca cuentas en sitios insospechados que pueden ir desde un foro de un
blog, a un club temático sobre alguna de las aficiones del objetivo. Es
una tarea ardua que los especialistas en
doxing se dedican a automatizar en lo posible y a cuidar en detalle.
|
Figura 2: El servicio de recuperación de contraseñas de menéame te dice si tiene cuenta o no |
A veces es tan sencillo como simplemente buscar la
URL con
el nombre del usuario, algo que utilizan muchos sitios web en la red,
así que no sería nada difícil saber donde se han creado esas cuentas.
Una web que permite localizar un nombre de usuario en una lista de
300 sitios es
Check Usernames, que utiliza estos pequeños leaks de información para localizar los perfiles de un usuario en los distintos lugares de la red.
|
Figura 3: Check Usernames te lleva a los perfiles de un determinado nombre de usuario |
En el mundo del social media, se hace justo para lo contrario, los
responsables de marca buscan reservarse los usuarios de la imagen
corporativa, y los
BlackSEO
robarle las cuentas a la competencia. Por supuesto, también se buscan
usuarios de sitios que en el futuro puedan ser de utilidad, como los
nombres de usuario que puedan usarse para engaños, como
support, help, admin, root, etcétera, o los de nombres muy significativos que puedan valer mucho dinero en el futuro, como
sex o los nombres de usuarios en
Twitter cortos que tan valiosos se han vuelto.
|
Figura 4: Sitos con el usuario Viagra creado y sitios con él disponible |
Si tienes un nombre de usuario, que haya aparecido en un correo electrónico, en una cuenta de una web, o en el
metadato de un fichero ofimático, localizar cuentas con ese nombre de usuario en otros servicios de
Internet puede ser una buena idea para ver qué sale.
Fuente http://www.elladodelmal.com/2014/08/check-username-que-identidad-te-puedo.html
de Chema Alonso