Falsa seguridad en la web de Party Poker
18 años 7 meses
3.514
Como informático que soy siempre me han parecido una barbaridad aquellas salas que para solicitar el acceso a tu cajero o cuenta te piden el usuario y la password desde una página web, léase las de OnGame, algunas de Crypto como Will Hill o, sin ir más lejos, Party Poker.
El motivo de que me parezca una barbaridad es que cualquiera que entienda algo de informática sabe lo sencillo que es realizar un ataque contra este tipo de páginas que solicitan el usuario y la password, ya que se trata de un mero formulario que puede, de una manera relativamente sencilla, ser reventado por un ataque de diccionario o fuerza bruta.
Pues bien, me había parecido muy bien la iniciativa de Party Poker de poner un control de imagen al formulario para evitar precisamente esto, ya que dichos controles de imagenes como sabeis se basan en un texto distorsionado que, en teoría, solo un humano es capaz de interpretar. Bien por Party. Un ejemplo de lo que digo es lo que vemos si intentamos acceder a nuestra cuenta de Party desde cualquier e-mail promocional que nos envíen, como pódéis ver en
esta dirección
https://secure.partyaccount.com/index_code.htm?Target=/bonus/bonus_offers.htm
Pues bien, hoy, por fruto de la casualidad, he descubierto que dicha medida de seguridad es una simple fachada, pues basta con que nos equivoquemos al introducir el usuario o la password para que Party nos redireccione a esta otra dirección
https://secure.partyaccount.com/index.htm?ERROR=TRUE&TYPE=-10
que como podéis comprobar no está protegida por dicho control de imagen y, por lo tanto, puede ser atacada mediante el método mencionado.
¿Seguridad de cara a la galería?
Lamentablemente y como todo el mundo sabe es aún peor la falsa seguridad que la inseguridad, pues crea una confianza que provoca un abandono de las medidas de seguridad más elementales.
P.D.: Simón, no se si esto va aqui o en software, ya tu decides. Gracias.
17 años 5 meses
5.727
Como informático que soy siempre me han parecido una barbaridad aquellas salas que para solicitar el acceso a tu cajero o cuenta te piden el usuario y la password desde una página web, léase las de OnGame, algunas de Crypto como Will Hill o, sin ir más lejos, Party Poker.
El motivo de que me parezca una barbaridad es que cualquiera que entienda algo de informática sabe lo sencillo que es realizar un ataque contra este tipo de páginas que solicitan el usuario y la password, ya que se trata de un mero formulario que puede, de una manera relativamente sencilla, ser reventado por un ataque de diccionario o fuerza bruta.
Pues bien, me había parecido muy bien la iniciativa de Party Poker de poner un control de imagen al formulario para evitar precisamente esto, ya que dichos controles de imagenes como sabeis se basan en un texto distorsionado que, en teoría, solo un humano es capaz de interpretar. Bien por Party. Un ejemplo de lo que digo es lo que vemos si intentamos acceder a nuestra cuenta de Party desde cualquier e-mail promocional que nos envíen, como pódéis ver en
esta dirección
https://secure.partyaccount.com/index_code.htm?Target=/bonus/bonus_offers.htm
Pues bien, hoy, por fruto de la casualidad, he descubierto que dicha medida de seguridad es una simple fachada, pues basta con que nos equivoquemos al introducir el usuario o la password para que Party nos redireccione a esta otra dirección
https://secure.partyaccount.com/index.htm?ERROR=TRUE&TYPE=-10
que como podéis comprobar no está protegida por dicho control de imagen y, por lo tanto, puede ser atacada mediante el método mencionado.
¿Seguridad de cara a la galería?
Lamentablemente y como todo el mundo sabe es aún peor la falsa seguridad que la inseguridad, pues crea una confianza que provoca un abandono de las medidas de seguridad más elementales.
P.D.: Simón, no se si esto va aqui o en software, ya tu decides. Gracias.
Muy buena tu investigación Monjamon
, ¿pero hay algo que podamos hacer para no ser victimas de un ataque, o al menos minimizar los riesgos ante tal circunstancia?.CONFUSEd
Te agradezco de antemano cualquier sugerencia ya que no entiendo nada sobre este asunto. 😄
Pensándolo bien creo tendrías la obligación de solucionarlo, ya que por tu culpa tengo un problema más a partir de hoy, que gracias a mi ignorancia no lo tenía ni había posibilidades de que lo tenga en el futuro:D:D:D:D:D:D
Saludos Ricardo:cool:
18 años 2 meses
3.550
usar buenas passwords, largas, que no sean palabras, sino que sea una combinacion de letras y numeros.
18 años 9 meses
4.238
Para tu seguridad (y la de tu bank) lo mejr es no jugar en Party 😄)
Ya te atacan bastante ellos con el rake.
17 años 5 meses
5.727
Gracias: tendre en cuenta los consejos sobre la clave 😄, lo de no jugar más seguro que es efectivo, pero me parece un tanto drástico:eek::eek::eek::p:p:p
Saludos Ricardo:cool:
17 años 11 meses
2.525
Cierto, con un programa que ataque por listas de IP y wordlist variadas los ataques son factibles.