(http://www.bjb.com/images/Verschluesselung/Email_Locked.png)
Account lockout attack o Ataque para bloqueo de cuenta, un ataque simple pero efectivo, donde se aprovecha la funcionalidad de bloqueo automática a la cuenta del usuario tras numerosos intentos de acceso fallidos. El abuso de esta funcionalidad en manos de un atacante podría provocar serios problemas.
Como se hace?
Sencillo... intentamos acceder con el nombre de usuario de la víctima al sistema muchas veces, hasta activar el sistema de bloqueo de cuenta. ¿Cuántos de ustedes han ingresado mal su propia contraseña intentando recordar cómo era?, hasta que les aparece que su cuenta ha sido bloqueada por seguridad y necesita verificaciones.
Bien, pero esto no queda acá, vamos a echar un poco la imaginación a volar... imaginemos este mismo ataque pero a millones de víctimas en el mismo sistema de logeo, un bloqueo de cuenta masiva. No sólo que van a bloquear todas esas cuentas, sino que también posiblemente estén realizando un ataque DoS (Denial of Service) logrando colapsar el sistema en el máximo de los casos. Ya no solo afectaría a los usuarios sino que estarías logrando un ataque hacia el servidor/web.
Ejemplo real.
(http://blog.nop07security.com/imgpost/13/cuenta_bloqueada.jpg)
Un ejemplo real sucedió en eBay, página de transacciones online reconocida mundialmente, dónde había una subasta y el atacante la queria ganar, pero también había otro usuario legítimo intentando ganarla. Entonces el atacante no oferto más, hasta que faltaban pocos minutos de terminar la subasta, en ese instante el atacante lanza un ataque contra la cuenta de la víctima (ya que en la subasta oculto en el código se veía el user_id del usuario víctima), intentando entrar varias veces logrando bloquear la cuenta de la víctima. El atacante vuelve a entrar a su cuenta y antes de que termine la subasta hace una oferta, como la víctima no podía entrar a su propia cuenta perdió la subasta.
Pablo E. La Rocca.
Fuente: Blog-Nop07security.com (http://blog.nop07security.com)
Sencillo pero eficaz, no sabía que este tipo de ataques tenía un valor real.
Saludos.
Esta muy interesante, solo que se debe saber de antemano en cual website tiene cuentas creadas un determinado correo.
Cada vez mas se le debe dar importancia a los sistemas de autenticacion en dos pasos como Latch y Google Authenticator.
Saludos por alla y gracias por el post hermano.