Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID)

Publicado por Sergio Hernando | Formulario para escribir comentarios disponible al final del artículo





Buenas,

Mientras estaba de vacaciones navideñas leí un artículo que hablaba de Cross Site Identification. La verdad es que me había olvidado del asunto, pero un correo que he leído hoy mismo en Security Focus me ha traído de nuevo el asunto a la cabeza.

Muchos os preguntaréis qué es eso del Cross Site Identification (CSID). Aunque la explicación del autor es magnífica y completa, por resumir un poco, se trata de un ataque en el cual la víctima, que está preautenticada en un servicio o red social, navega en paralelo a un sitio malicioso que realizará, sin que el usuario se de cuenta, peticiones a la red social en la que esté preautenticado para obtener datos. Dice el autor que los datos solicitados bien podrían ser públicos, pero que no dejan de ser obtenidos de una manera ajena al contexto de la red social. Es por esto que se llama Cross Site Identification (Cross Site por la dualidad servidor-navegador, e Identification porque el ataque está dirigido a obtener información personal de la víctima, tratando de identificarla con el mayor número de datos.

Y como una imagen vale más que mil palabras ...

Si os tengo que ser sinceros para mí el CSID encaja perfectamente en la definición de un viejo conocido, el Cross-site Request Forgery (CSRF), ya que el CSID se basa, al igual que en el CSRF, en la confianza que tiene un servicio Web en la preautenticación (en definitiva, en el navegador del usuario).

Nomenclaturas aparte, quizás sea un tipo de ataque a tener en cuenta, sobre todo teniendo en consideración el auge de las redes sociales, aunque ya sabemos que el robo de información personal ni vende periódicos ni, por desgracia, preocupa en exceso a los usuarios.

Un saludo,

  • del.icio.us
  • Facebook
  • BarraPunto
  • LinkedIn
  • Meneame
  • Twitter

Tags: , , ,
Categorías: Seguridad

Trackbacks & Pingbacks

[...] This post was mentioned on Twitter by Jesús Pérez Serna, Asier Marqués, Emilio Mh, Sergio Hernando, Informática64 and others. Informática64 said: Cross Site Identification (CSID). Como robar información de usuarios de redes sociales. Interesante. http://tinyurl.com/ykvrtxa [...]

Pingback de Tweets that mention Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID) » Sergio Hernando -- Topsy.com el 14 Enero 2010 @ 10:22 am

[...] ·Etiquetado CSID, identidad, privacidad, redes, seguridad, sitios, sociales Lo vi en Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID) y los detalles (aunque no muchos) están en Cross Site Identification – or – How your [...]

Pingback de Identificación cruzada « Mbpfernand0's Blog el 8 Febrero 2010 @ 10:28 am

Comentarios

“Aquel que sacrifica libertad por seguridad no merece, ni obtendra ninguna de las dos”. Benjamin Franklin

Aunque perderla por comodidad o despreocupación es mucho más triste…

¡Un saludo!

Comentario de Rafael alfaro el 20 Enero 2010 @ 3:02 pm

Escribir un comentario

Las rupturas de línea y párrafo son automáticas. El e-mail nunca será mostrado ni cedido a terceros. Se permite el siguiente código HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

(necesario, puede ser ficticio)

(necesario, puede ser ficticio)