|
Title: auditando sua própria segurança no digital Post by: Lucasgabd on September 20, 2023, 02:43:30 PM você já pensou na ideia de tentar atacar suas próprias contas?
pode ser uma forma interessante de auditar se seus sistemas de segurança estão bem configurados abrir uma aba anônima num browser e tentar logar nas suas contas de email e redes sociais por exemplo, tentando forçar os métodos de recuperação a partir de dados que são relativamente públicos ou faceis de encontrar sobre você (email, cpf, telefone), dá até para ir mais longe e tentar fazer um sim swapping na sua própria operadora e ver se consegue. pode ser um método interessante, alguém já fez algo parecido? Title: Re: auditando sua própria segurança no digital Post by: joker_josue on September 23, 2023, 12:36:56 AM pode ser um método interessante, alguém já fez algo parecido? Você já fez? Se sim, podia ser interessante partilhar a experiencia e as ferramentas usadas na sua pesquisa por informação. ::) Eu pelo menos sei, que existe uma password antiga que foi exposta num desses ataques a um site qualquer. Logicamente fiz as mudanças necessárias na altura. Mesmo assim, ainda existe um ou outro site que contem essa password. Pois eu nunca me dei ao trabalho de mudar, porque o pior que pode acontecer é alguém encomendar uma pizza em meu nome. ::) Não, não tem lá dados de pagamento. E moradas, são antigas, porque já nem encomendo pizzas dessa empresas ahahah. Title: Re: auditando sua própria segurança no digital Post by: alegotardo on September 23, 2023, 02:02:51 AM você já pensou na ideia de tentar atacar suas próprias contas? pode ser uma forma interessante de auditar se seus sistemas de segurança estão bem configurados abrir uma aba anônima num browser e tentar logar nas suas contas de email e redes sociais por exemplo, tentando forçar os métodos de recuperação a partir de dados que são relativamente públicos ou faceis de encontrar sobre você (email, cpf, telefone), dá até para ir mais longe e tentar fazer um sim swapping na sua própria operadora e ver se consegue. pode ser um método interessante, alguém já fez algo parecido? Uma vez eu fiz para minha conta do google, nem pesquisei em redes sociais, porque não tenho, mas fui nos "esqueci minha senha" e disse que não tinha nenhum método de recuperação da conta, sendo preciso entrar em contato com alguém humano para verificar os dados que eu ia fornecer. Mas não consegui avaçar, porque o google só permite esse tipo de recuperação quando a conta fica XX dias (não me lembro o prazo) inativa, e como eu uso ela todos os dias no celular, seria impossível fazer e teste e consequentemente ser atacado. Além do mais... tenho a verificação em duas etapas ativa em todos os serviços. Por que eu fiz esse teste? Porque a muito tempo atrá tive meu email da microsoft, ainda hotmail, roubado por alguém que utilizou o suporte humano (foi o que o uporte me disse). Alguns dias depois eu consegui recuperar, mas certamente tive várias informações de meu email vazadas (nada importante, eu acho). |