Do e-mail ao número de telefone, uma nova abordagem de OSINT (2019)

 (martinvigo.com)
1 pontos por GN⁺ 2023-11-18 | 1 comentários | Compartilhar no WhatsApp

Resumo: do e-mail ao número de telefone, uma nova abordagem de OSINT

  • Pesquisa recente sobre fragilidades nas opções de redefinição de senha e vetores de ataque

  • Apresentação da ferramenta "Ransombile" na BSides Las Vegas, facilitando a automação de redefinições de senha por SMS e ataques direcionados a dispositivos móveis bloqueados com acesso físico possível

  • Na DEF CON e no CCC, foi levantado o problema de redefinições de senha por chamada telefônica por meio de vulnerabilidades em sistemas de correio de voz

  • Foi descoberto que, ao redefinir senhas, alguns dígitos do número de telefone são parcialmente exibidos na interface

  • Não há um padrão entre sites para mascarar informações de identificação pessoal (PII)

  • Por exemplo, no caso do Paypal, sabendo apenas o endereço de e-mail é possível descobrir 5 dos 10 dígitos do número de telefone

Investigação aprofundada

  • Elaboração e análise de uma lista de sites populares em que é possível iniciar a redefinição de senha apenas com o e-mail
  • Por exemplo, se alguém tiver contas no eBay e no LastPass, um invasor pode descobrir 7 dígitos do número de telefone sabendo apenas o endereço de e-mail

Encontrando os dígitos restantes

  • Números de telefone dos EUA são compostos por código de área, código da central e número do assinante
  • É possível verificar uma lista atualizada dos códigos de área e das respectivas centrais por meio do North American Numbering Plan Administrator (NANPA)
  • Por exemplo, no caso de San Francisco, os números de telefone possíveis podem ser reduzidos para 784 usando os 216 códigos de central não atribuídos ao código de área 415

National Pooling Administration

  • Por meio do National Pooling Administration, que gerencia a alocação de números de telefone, é possível excluir números inválidos com base no número do assinante
  • Por exemplo, no caso de números 415-272-XXXX de Sausalito, é possível excluir 415-272-[0-8]XXX e focar apenas nos números que começam com 9

Ainda há muitos números possíveis

  • Depois de descobrir 7 dígitos do número de telefone de um alvo que tenha um endereço de e-mail, é possível reduzir os números possíveis usando NANPA e National Pooling Administration
  • Em vez de verificar manualmente os números restantes, é possível encontrar o número de telefone associado ao endereço de e-mail por meio de mecanismos de busca, serviços online e serviços telefônicos online

Usando o mesmo vetor de ataque ao contrário

  • Em serviços como Amazon e Twitter, é possível tentar uma redefinição de senha com o número de telefone e recuperar alguns caracteres do endereço de e-mail
  • É possível usar o endereço de e-mail para coletar dígitos do número de telefone em vários sites, reduzir a lista de números possíveis usando dados públicos da NANPA e da National Pooling Administration e então iterar pela lista restante de números de telefone para correlacionar os caracteres do e-mail que correspondem ao endereço de e-mail do alvo

Automação

  • Com a ferramenta "email2phonenumber", é possível fornecer um número de telefone parcial e obter uma lista de números válidos, além de usar as funções de redefinição de senha da Amazon e do Twitter para fazer força bruta dos números restantes e encontrar o e-mail correspondente

Outros países

  • É possível usar os sistemas de numeração telefônica de países fora dos EUA para coletar todos os dígitos de um número de telefone
  • Por exemplo, no caso da Espanha, números de celular têm 9 dígitos, e eBay ou LastPass não ajustam a mascaragem ao comprimento do número, permitindo descobrir mais da metade do número de telefone

Conclusão

  • Como não há um método padronizado para mascarar PII, informações parciais sobre endereços de e-mail e números de telefone podem vazar em serviços online
  • Especialmente em países com números de telefone curtos, muitos serviços não ajustam a mascaragem ao comprimento do número e podem expor o número completo
  • Sugere-se permitir que usuários definam rótulos como "e-mail pessoal" ou "telefone de trabalho", exibindo esses rótulos em vez de PII durante a redefinição de senha

Opinião do GN⁺

O ponto mais importante deste texto é a descoberta de uma nova abordagem de OSINT capaz de obter um número de telefone a partir apenas de um endereço de e-mail. Esse método pode ter impactos significativos sobre privacidade e segurança, além de ajudar a aumentar a conscientização sobre atacantes que podem explorar essas vulnerabilidades. O texto traz um tema interessante para quem se interessa por engenharia de software e segurança, e reforça a importância de proteger dados pessoais.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-11-18
Comentários do Hacker News
  • Um usuário compartilhou que comprou peças de carro de um vendedor meio golpista, que recebeu o dinheiro e por várias semanas não enviou o pedido completo. Ao se comunicar por várias plataformas, ele conseguiu obter parte das informações de identidade do vendedor e, com isso, ligou para o local de trabalho dele pedindo o envio das peças; no dia seguinte, o vendedor enviou todos os itens.
  • Outro usuário mencionou o banco de dados CNAM (somente nos EUA), explicando que ele é usado pelas operadoras para fornecer caller ID alfanumérico, mas continua acessível mesmo que a maioria das operadoras não exiba essa informação. Consultar o banco de dados CNAM não é gratuito, mas ele disse que provavelmente seria possível encontrar uma forma relativamente barata de consultar centenas de números.
  • Um usuário apontou que o PayPal, sabendo apenas o endereço de e-mail, mostra cinco dígitos incluindo o código de área e, se o atacante souber a senha do alvo, mostra apenas três dígitos; ele criticou o PayPal por tratar isso como uma questão de design e não tomar providências. Também perguntou como obter um número pelo LinkedIn ou como vinculá-lo a um número em outro lugar.
  • Outro usuário aconselhou considerar o uso de números virtuais e comentou que a opção de um segundo cartão SIM ainda é relativamente incomum nos EUA. Ele também disse que muitos sites consultam o número de telefone para bloquear provedores de VOIP, o que às vezes faz com que a conta não possa mais ser reutilizada.
  • Um usuário da Suécia explicou que seu e-mail e número de telefone estão publicamente listados em muitas listas telefônicas e que, na Suécia, é prática padrão permitir a busca por endereços e números de telefone. Ele mencionou que há um lado positivo nisso: esses dados públicos fazem com que as pessoas não tratem essas informações como segredo, e saber o número de alguém não ajuda a se passar por essa pessoa.
  • Um usuário usou uma forma bem-humorada de se referir a nomes ligeiramente alterados para proteger a privacidade.
  • Um capitalista de risco comentou que essa é uma técnica útil para lidar com pessoas que ignoram e-mails.
  • Outro usuário avaliou que o incômodo de usar endereços de e-mail e números do Google Voice diferentes para cada serviço acabou valendo a pena.
  • Um pesquisador de segurança questionou se é justificável divulgar resultados de pesquisa como uma ferramenta que gera automaticamente números de telefone a partir de e-mails. Ele argumentou que existem muito mais usos ruins do que bons e se perguntou se o pesquisador fica isento por fazer isso em nome da "pesquisa" e operar em uma zona cinzenta, ou se conversou com as empresas que tiveram vulnerabilidades divulgadas e sentiu que o problema foi resolvido.
  • Por fim, outro usuário comentou que verifica com frequência a página de projetos Python em alta no GitHub e ficou confuso sobre por que esse repositório estava em alta. Ele achou interessante que, mesmo com muitos serviços já tendo corrigido as vulnerabilidades, só o fato de ter sido postado no Hacker News já bastava para colocá-lo na página de trending de Python.