El equipo de Q-CERT ha anunciado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.
Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.
¿ Qué es la autenticación en 2 pasos ?
- La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio.
- Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.
- El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida.
- El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.
Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.
Fuente: Hispasec