Question:
La divulgation du numéro de téléphone pendant le processus de vérification OTP est-elle considérée comme une vulnérabilité?
MyUserName
2020-07-14 21:45:29 UTC
view on stackexchange narkive permalink

L'un des moyens les plus courants de mettre en œuvre 2FA consiste à utiliser le numéro de téléphone, un SMS ou un appel avec OTP. Comme je peux le voir, les services Web affichent généralement quelque chose comme: 

  OTP a été envoyé au numéro + ********* 34

Est-ce fait parce que révéler le numéro est considéré comme une vulnérabilité?

Si oui, lequel et est-il décrit n'importe où?

Je suppose que cela a quelque chose à voir avec le fait de ne pas vouloir montrer trop d'informations sur l'utilisateur. Cette information pourrait être utilisée pour l'ingénierie sociale, mais peut-être y a-t-il autre chose?

Avoir un lien vers un emplacement de confiance avec la description serait également très bien.

S'il y a une attaque possible sur un numéro de téléphone, révéler un numéro de téléphone obscurci n'en sera pas victime.Cela vous donne suffisamment d'informations pour dire "Mais mon numéro se termine par" 87 ", quelque chose ne va pas!", Et passez à votre comportement 2FA / WTF.
"Alors vous me dites que tout ce que j'ai à faire pour découvrir le numéro de téléphone privé de quelqu'un est d'essayer de me connecter avec son adresse e-mail?"
@user253751 vous devrez toujours utiliser le mot de passe pour obtenir le numéro de téléphone si nous parlons de 2FA
@valsaysReinstateMonica N'est-ce pas le but de 2FA?Une méthode secondaire d'autorisation au cas où le mot de passe serait deviné, divulgué ou découvert d'une autre manière?Question honnête, je me trompe peut-être.
@Steve-O oui, vous avez raison.Je viens de souligner que l'e-mail seul ne suffirait pas pour obtenir le numéro de téléphone dans cette situation /
"Si oui, alors lequel, est-il décrit quelque part?"C'est un peu comme dire que malgré les règles de SE, vous espérez que les autres feront la plupart de votre travail. L'idée est que vous demandiez d'abord à vos ouvrages de référence ou moteurs de recherche «lequel», puis venez ici pour clarifier ce qui n'a pas de sens…
Six réponses:
gowenfawr
2020-07-14 22:29:54 UTC
view on stackexchange narkive permalink

La principale méthode d'attaque contre les messages texte OTP consiste à « swap sim» et à prendre le numéro de téléphone de la cible. Si le site fournissait le numéro complet dans ce scénario, il donnerait à l'attaquant exactement les informations dont il a besoin pour briser la sécurité utilisée.

(Pour soulever les commentaires: En général, plus des informations personnelles sont nécessaires si vous souhaitez demander au personnel des télécoms des ingénieurs sociaux d'échanger la carte SIM. Dans certains endroits et sous certains opérateurs, c'est encore plus difficile que cela, car une pièce d'identité doit être présentée en personne. Mais il y a aussi les cas où rien de plus que le numéro de téléphone n'est requis, même avec des protections améliorées en place, si le personnel des télécommunications est de connivence avec les attaquants.)

Eh bien, pas * exactement * les informations dont ils auraient besoin.Vous ne pouvez pas échanger la carte SIM uniquement avec le numéro de téléphone, sinon nous serions tous coulés.L'attaquant a besoin d'une tonne d'informations personnelles et de toute autre information de vérification dont l'opérateur mobile a besoin.
@schroeder note également que l'échange de cartes SIM ne fonctionne que dans certains pays.ici en Europe de l'Est, le seul moyen de transférer votre numéro sur une nouvelle carte SIM est d'aller chez votre opérateur et de présenter votre pièce d'identité.à moins bien sûr que vous ayez acheté une SIM anonyme (c'est-à-dire prépayée sans contrat), auquel cas, je ne suis pas sûr que vous puissiez même transférer votre numéro sur une autre SIM.
@Gnudiff Je n'ai pas eu besoin de montrer mon identifiant les 2 dernières fois que j'ai transféré mon numéro sur une nouvelle carte SIM (Pays-Bas).Je ne sais pas si j'en ai jamais eu besoin avant.Apparemment, les différences régionales peuvent avoir un impact sur la sécurité ici.
@Mast gnudiff a dit que la différence varierait selon les pays
@schroeder Et je suis d'accord en donnant un exemple.Les deux cas sont maintenant couverts.
@schroeder Je souhaite que ce soit vrai.Mes collègues ont montré que c'était faux (au moins pour les forfaits prépayés aux États-Unis) sur le site Web: https://www.issms2fasecure.com/.TL; DR il existe des informations d'authentification qui ne sont pas personnelles / peuvent être falsifiées, telles que les appels récents et l'historique des paiements
@RyanAmos Je ne suis pas sûr que vous ayez contredit ma déclaration.Vous avez besoin de plus que le nombre.Vous avez besoin "d'autres informations de vérification".
@schroeder Peut-être que je n'étais pas suffisamment clair.Le fait est que les autres informations de vérification peuvent être obtenues sans avoir à collecter des informations personnelles.Par exemple, les journaux d'appels peuvent être falsifiés en appelant la victime ou en l'incitant à appeler un numéro qui vous appartient.Les enregistrements de paiement peuvent être falsifiés en effectuant un paiement au nom de la victime (ne nécessite généralement pas d'authentification).Donc, avec juste un numéro de téléphone et * aucune autre information *, vous pourrez peut-être effectuer une attaque d'échange de carte SIM.
schroeder
2020-07-14 22:04:11 UTC
view on stackexchange narkive permalink

Il ne s’agit pas d’une «vulnérabilité». Il s'agit d'informations personnelles identifiables (PII). C'est la même raison pour laquelle les numéros de carte de crédit ne sont pas affichés en entier sur les sites non plus.

Quiconque passe devant votre écran, les caméras enregistrant, etc. verra les informations. Et il n'est pas nécessaire d'afficher le nombre entier. C'est juste là comme un rappel à l'utilisateur.

Considéré comme une réponse à ajouter, mais cela dit déjà plus ou moins ce que je veux dire.L'affichage du numéro de téléphone ne passe pas non plus le test «Cette fonction me protège-t-elle contre mon harceleur / ex abusif».Sauf s'il n'y a pas d'autre option, les informations personnelles doivent toujours être masquées.
Jeff Ferland
2020-07-14 23:17:37 UTC
view on stackexchange narkive permalink

Si le numéro complet était indiqué, je pourrais accéder à votre compte, demander un nouveau mot de passe et connaître votre numéro de téléphone. Les deux derniers chiffres sont un compromis qui vous permet de connaître son (probablement) numéro de téléphone sans donner votre numéro de téléphone à quiconque souhaite le consulter sur le site Web.

N'affiche-t-il pas le numéro de téléphone (masqué) uniquement après avoir entré le mot de passe correct?En d'autres termes, je ne pourrais obtenir le numéro de téléphone des OP que si j'avais déjà le mot de passe des OP?
@gerrit oui, le numéro de téléphone ici n'est affiché que si l'utilisateur a entré un identifiant et un mot de passe appropriés.Mais comme je le vois, il est toujours logique de le cacher.
Il peut également vous rappeler _ quels_ numéros vous avez utilisés lors de votre inscription (utile si quelqu'un a pu utiliser son numéro de domicile ou de travail, par exemple).
Vasilis Konstantinou
2020-07-15 02:31:09 UTC
view on stackexchange narkive permalink

Eh bien, ce que nous sommes tous d'accord, c'est qu'en affichant le numéro de téléphone complet, l'application divulgue des informations sensibles sur l'utilisateur. Je ne sais pas quelle réglementation s'applique à votre pays, mais sur la base du GDPR, les numéros de téléphone de la réglementation européenne sont considérés comme des informations personnelles et doivent être traités de manière appropriée. Cela signifie que si le numéro de téléphone est révélé à un autre utilisateur, l'application / le site Web n'est pas conforme au RGPD. Encore une fois, je ne sais pas quelles réglementations s'appliquent dans votre cas spécifique, mais je pense qu'il est utile de garder cela à l'esprit lors du développement de votre application.

Considérons maintenant le scénario dans lequel l'utilisateur malveillant TRUDY a atterri d'une manière ou d'une autre l'écran OTP et un message apparaît Un Otp a été envoyé au +30 0000000001 que peut faire TRUDY avec ça? Je peux penser à 4 scénarios

  1. sim swap Comme décrit par gowenfawr. Cela peut avoir un levier de succès différent selon le processus d'échange de cartes SIM implémenté par chaque opérateur.
  2. Ingénierie sociale . Envoi de messages en tant que votre entreprise comme Votre_entreprise.com Cliquez sur le lien pour insérer otp / mot de passe et d'autres e-mails de phishing.
  3. OSINT . Les numéros de téléphone sont suffisamment uniques pour aider un attaquant à mener une enquête open source sur l'utilisateur dans les médias sociaux et d'autres plates-formes qui pourraient être utilisées dans les e-mails de spear phishing ou pour répondre à des questions de sécurité telles que De quel pays / état êtes-vous d'origine . Bien sûr, ce n'est pas le scénario le plus probable et nécessite que TRUDY investisse spécifiquement du temps pour cet utilisateur.

Pour conclure tant que TRUDY ne peut pas utiliser le numéro de téléphone pour accéder à votre système. Je dirais que ce n'est pas une vulnérabilité.

Vouliez-vous dire ** OSINT ** que OSNIT?
Oui, merci de l'avoir signalé.Je vais le changer.
Gherman
2020-07-17 21:27:14 UTC
view on stackexchange narkive permalink

Gardez à l'esprit que la sécurité d'un numéro de téléphone peut être différente selon les opérateurs de téléphonie mobile. Vous ne savez pas à quel point une autre organisation non liée à votre organisation prend au sérieux la sécurité. Cela est particulièrement vrai si vos clients résident dans des pays éloignés et que vous en savez très peu sur la manière dont les opérateurs y travaillent. Dans mon pays, il est possible de se rendre dans un centre d'opérateurs de téléphonie mobile et de persuader les gens de simplement vous donner la carte SIM du numéro de téléphone souhaité. Tout ce que vous devez leur donner, ce sont de fausses copies de passeport et ils ne prendront peut-être pas la peine de les vérifier. Donc, pas besoin de vulnérabilités sophistiquées et de compétences en piratage, il suffit de parler à des personnes non apparentées. Cela s'est souvent produit dans le passé et constitue un énorme problème de sécurité. Certaines personnes ont perdu l'accès à leurs sites ou à leurs noms de domaine à cause de cela et ont perdu d'énormes revenus. Les pirates ont utilisé l'authentification à facteur unique basée sur le numéro de téléphone pour accéder à leurs comptes et les voler.

Je vous donnerais des liens vers des exemples, mais ils sont dans une langue différente et je ne veux pas être accusé de diffamation.

En bref: la protection des numéros de téléphone n'est pas du tout bonne, du moins quand il s'agit d'un facteur unique à mon humble avis.

yatharth mheshwari
2020-07-15 03:34:26 UTC
view on stackexchange narkive permalink

Je ne suis pas un expert Mais quand je dois changer le mot de passe de mes comptes Google. Ils me disent toujours que l'OTP a été envoyé à ce numéro spécifique.

J'ai différents numéros de mobile. Et je ne me souviens pas du numéro de téléphone que j'ai utilisé sur un site Web. certains anciens sites Web ont envoyé le bureau du Procureur au numéro de téléphone que je ne possède pas maintenant, alors ce sera un problème s'ils ne montrent pas à quel numéro ils envoient le Bureau du Procureur.

Je recommanderais donc montrant le numéro lié au compte dont ils veulent changer leur mot de passe.

enfin, je dirais qu'il y a des milliers de vulnérabilités Mais nous ne les prenons pas en compte car la probabilité de se produire est infime et non vaut le désagrément occasionné



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...