Hace tan sólo unos días, os mostraba algunos servicios online que nos proporcionaban una cuenta de correo electrónico o un número de teléfono móvil temporal, también os comentaba que estos servicios son completamente públicos, por lo que cualquiera que entre a la bandeja de entrada, puede consultar con total libertad los últimos mensajes recibidos.
 |
| Imagen 1: El problema de usar cuentas de correo temporales |
Teniendo todo esto en cuenta, vamos a ver como nos podemos aprovechar de la total falta de privacidad de uno de estos servicios. En concreto visitaremos la página yopmail.com, que ofrece a sus usuarios un servicio temporal de correo electrónico y según su eslogan: "your own protection mail".
Entramos a dicha página y lo primero que nos pide es que introduzcamos una cuenta de correo temporal, por ejemplo podemos escribir "gamer", algo que cualquier aficionado a los videojuegos pondría. Luego de hacer esto, se nos muestra la bandeja de entrada, y podemos ver como muchas otras personas han utilizado el mismo "alías" para su cuenta de correo temporal, ya que nos encontraos mensajes de todo tipo (la mayoría spam).
 |
| Imagen 2: Interfaz inicial de YOPmail |
Si nos fijamos bien nos damos cuenta de que existen bastantes personas que utilizan el servicio para la recuperación de cuentas o para el registro en algún otro servicio web. Por lo que solo tenemos que hacer una breve búsqueda en los últimos mensajes, para encontrarnos emails donde directamente encontramos el usuario y contraseña, o el código de recuperación de alguna cuenta de Skype, Netflix, Steam ...
 |
| Imagen 3: Correo de Steam con código de respaldo |
 |
| Imagen 4: Correo para la recuperación de una cuenta de Skype |
También podemos conseguir algunas de estas cuentas, aprovechándonos del hecho de que al haber sido creadas con la misma dirección de ese "correo temporal", sólo tenemos que introducir el user en el servicio correspondiente y pedir que nos mandan un email de recuperación al correo. A partir de aquí solo tendríamos que seguir los pasos habituales para cambiar o recuperar la contraseña.
Por todo esto, es por lo que os decía en el post anterior que tenemos que tener mucho cuidado con el uso que le damos a estos servicios, ya que si los utilizamos para la creación o recuperación de cuentas en otros servicios web, tenemos muchas posibilidades de que nos roben las credenciales por haberlas publicado nosotros mismos.
No hay comentarios:
Publicar un comentario