¿Fallo de seguridad del foro?

No se si esto está hecho a propósito, por eso lo he puesto entre interrogaciones, pero voy a exponerlo por si acaso.

Me he fijado que si te cambias el nickname, el username de tu login sigue siendo el primer nickname que tuviste. Si te cambias el nick, un hacker no solo tendría que averiguar tu pass, también debe encontrar tu username. Pero es facil encontrar el username de alguien.

Hacemos click en su perfil, y nos fijamos en la url. En el final de esta se encuentra su username para el login. Voy a poner un ejemplo:


Hay un usuario llamado randomguy123. Le doy click a su nickname. Accedo a su perfil. Me fijo en la URL. En la URL pone esto:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El ultimo directorio de esa URL contiene el username de nuestro target, en este caso, randomguy123, cuyo username es juanito_perez.
Tras obtener este dato, el robo de su cuenta sería mucho mas facil.




Recordad, que no estoy seguro de si esto está hecho a propósito. Así que si se da el caso de que esto es así por descuido, me imagino que os podrá ser útil saberlo para arreglarlo.

No se lo he explicado a los admins por privado, por que me parece buena idea que el resto de la gente sepa que esto puede dar problemas, para que no lo hagan en sus futuros proyectos.

Hola. No es un fallo. Son dos cosas diferentes, por un lado tenes tu nick y por otro lado el nombre de usuario. Puede ser el mismo o lo puedes cambiar desde tu perfil.

El nombre de usuario es el que usas para loguearte y el nick el que se muestra en el foro. Pero puedes cambiar ambos.

Saludos,
ANTRAX

Además no tiene nada que ver, si vamos al caso, Twitter tiene el nombre de usuario junto al @...

Y para entrar se necesita el e-mail o nombre de usuario. No es una falla de seguridad, simplemente, el nombre de usuario jajajaja

Jaja, no es ningún fallo, es una funcionalidad en tu perfil que te permite agregar un Nombre a tu id de usuario o nickname.

Me hiciste recordar a otra publicación de @Rookit_Pentester, donde creyeron y deducieron de forma incorrecta que también estaban frente a una vulnerabilidad sobre divulgar información:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando en realidad eso era problema del administrador del grupo y se le olvidaba que si seteaba de forma privada o publica cada grupo... además que Google indexó las rutas de acceso publicas en... /shared

Okay, ahora entiendo jajaja.
Pensaba que siempre mostraba el username del login y no sabia que eso se podía cambiar.

Gracias por las respuestas, y perdón por las molestias