Dari email ke nomor telepon, pendekatan OSINT baru (2019)

 (martinvigo.com)
1 poin oleh GN⁺ 2023-11-18 | 1 komentar | Bagikan ke WhatsApp

Ringkasan: Dari email ke nomor telepon, pendekatan OSINT baru

  • Penelitian terbaru dilakukan terhadap kelemahan opsi reset kata sandi dan vektor serangannya

  • Di BSides Las Vegas, diperkenalkan alat bernama "Ransombile" yang mengotomatiskan reset kata sandi melalui SMS dan mempermudah serangan bertarget terhadap perangkat seluler terkunci yang dapat diakses secara fisik

  • Di DEF CON dan CCC, diangkat masalah reset kata sandi melalui panggilan telepon dengan memanfaatkan kelemahan sistem voicemail

  • Ditemukan bahwa saat reset kata sandi, beberapa digit nomor telepon ditampilkan sebagian di UI

  • Tidak ada standar antar situs web untuk cara menyamarkan personally identifiable information (PII)

  • Sebagai contoh, pada Paypal, hanya dengan mengetahui alamat email, seseorang bisa mengetahui 5 dari 10 digit nomor telepon

Investigasi mendalam

  • Menyusun dan meninjau daftar situs web populer yang memungkinkan memulai reset kata sandi hanya dengan email
  • Sebagai contoh, jika seseorang memiliki akun eBay dan LastPass, penyerang dapat mengetahui 7 digit nomor telepon hanya dengan mengetahui alamat email

Mencari digit yang tersisa

  • Nomor telepon AS terdiri dari kode area, kode sentral, dan nomor pelanggan
  • Melalui North American Numbering Plan Administrator (NANPA), daftar terbaru kode area dan sentral yang sesuai dapat diperiksa
  • Sebagai contoh, untuk San Francisco, 216 nomor sentral yang tidak dialokasikan pada kode area 415 memungkinkan jumlah kandidat nomor telepon dipersempit menjadi 784

National Pooling Administration

  • Melalui National Pooling Administration yang mengelola alokasi nomor telepon, nomor telepon yang tidak valid berdasarkan nomor pelanggan dapat dikecualikan
  • Sebagai contoh, untuk nomor 415-272-XXXX di Sausalito, kita dapat mengecualikan 415-272-[0-8]XXX dan hanya fokus pada nomor yang diawali 9

Masih banyak nomor yang mungkin

  • Setelah mengetahui 7 digit nomor telepon target yang memiliki alamat email, NANPA dan National Pooling Administration dapat digunakan untuk mempersempit kandidat nomor telepon
  • Alih-alih memeriksa satu per satu secara manual, nomor telepon yang terkait dengan alamat email dapat dicari melalui mesin pencari, layanan online, dan layanan sistem telepon online

Menggunakan vektor serangan yang sama secara terbalik

  • Melalui layanan seperti Amazon dan Twitter, reset kata sandi dapat dicoba dengan nomor telepon, lalu sebagian karakter alamat email dapat diperoleh kembali
  • Dengan menggunakan alamat email untuk mengumpulkan digit nomor telepon dari beberapa situs, lalu memakai data publik dari NANPA dan National Pooling Administration untuk mempersempit daftar kandidat nomor telepon, daftar yang tersisa dapat diiterasi sambil mengorelasikan karakter email yang cocok dengan alamat email target

Otomatisasi

  • Dengan alat bernama "email2phonenumber", nomor telepon parsial dapat diberikan untuk memperoleh daftar nomor telepon valid, lalu fitur reset kata sandi Amazon dan Twitter dapat digunakan untuk melakukan brute force pada nomor yang tersisa guna menemukan email yang cocok

Negara lain

  • Dengan memanfaatkan sistem nomor telepon di negara selain AS, semua digit nomor telepon dapat dikumpulkan
  • Sebagai contoh, di Spanyol, nomor ponsel terdiri dari 9 digit, dan eBay atau LastPass tidak menyesuaikan masking dengan panjang nomor telepon sehingga lebih dari separuh nomor telepon dapat diketahui

Kesimpulan

  • Karena tidak ada metode standar untuk masking PII, informasi parsial tentang alamat email dan nomor telepon dapat bocor dari layanan online
  • Khususnya di negara dengan nomor telepon yang pendek, banyak layanan tidak menyesuaikan masking dengan panjang nomor telepon sehingga seluruh nomor telepon bisa diketahui
  • Diusulkan agar pengguna dapat menetapkan label seperti "email pribadi" atau "telepon kerja", sehingga saat reset kata sandi yang ditampilkan adalah label tersebut alih-alih PII

Pendapat GN⁺

Hal terpenting dari tulisan ini adalah ditemukannya pendekatan OSINT baru yang memungkinkan nomor telepon diketahui hanya dari alamat email. Metode ini dapat berdampak besar pada privasi dan keamanan, serta membantu meningkatkan kewaspadaan terhadap penyerang yang mengeksploitasi kelemahan semacam ini. Tulisan ini menawarkan topik yang menarik bagi mereka yang tertarik pada rekayasa perangkat lunak dan keamanan, sekaligus menekankan pentingnya perlindungan data pribadi.

Bacaan terkait

1 komentar

 
GN⁺ 2023-11-18
Komentar Hacker News
  • Seorang pengguna membagikan bahwa ia membeli suku cadang mobil dari penjual yang setengah penipu, tetapi setelah beberapa minggu penjual itu menerima uang namun tidak mengirimkan seluruh pesanan. Setelah berkomunikasi melalui beberapa platform, ia berhasil memperoleh sebagian informasi identitas penjual, lalu menelepon tempat kerja penjual untuk meminta pengiriman suku cadang, dan keesokan harinya penjual mengirimkan semua barang.
  • Pengguna lain menyebut basis data CNAM (khusus AS), menjelaskan bahwa basis data itu digunakan operator untuk menyediakan caller ID berbasis alfabet, tetapi tetap dapat diakses meskipun sebagian besar operator tidak menampilkan informasi tersebut. Ia mengatakan bahwa melakukan kueri ke basis data CNAM tidak gratis, tetapi kemungkinan ada cara untuk memeriksa ratusan nomor dengan biaya yang relatif murah.
  • Seorang pengguna menyoroti bahwa PayPal menampilkan lima digit angka termasuk kode area hanya dengan mengetahui alamat email, dan jika penyerang mengetahui kata sandi target maka hanya tiga digit yang disembunyikan. Ia mengkritik PayPal karena menganggap ini sebagai masalah desain dan tidak mengambil tindakan. Ia juga penasaran bagaimana cara mendapatkan nomor dari LinkedIn atau menghubungkannya dengan nomor dari tempat lain.
  • Pengguna lain menyarankan untuk mempertimbangkan penggunaan nomor virtual, sambil menyebut bahwa opsi kartu SIM kedua masih relatif jarang di AS. Ia juga mengatakan banyak situs melakukan lookup nomor telepon untuk memblokir penyedia VoIP, yang dalam beberapa kasus membuat akun tidak bisa digunakan kembali.
  • Seorang pengguna dari Swedia menjelaskan bahwa email dan nomor teleponnya tercantum secara publik di banyak buku telepon, dan di Swedia membuat alamat serta nomor telepon dapat dicari adalah praktik standar. Ia menyebut ada sisi positif dari keterbukaan data pribadi semacam ini, yaitu orang tidak menganggap informasi tersebut sebagai rahasia, dan mengetahui nomor seseorang tidak membantu untuk menyamar sebagai orang itu.
  • Seorang pengguna menggunakan cara yang lucu dengan sedikit mengubah penyebutan namanya demi privasi.
  • Seorang venture capitalist menyebut ini sebagai teknik yang berguna untuk orang-orang yang mengabaikan email.
  • Pengguna lain menilai bahwa kerepotan menggunakan alamat email dan nomor Google Voice yang berbeda untuk tiap layanan pada akhirnya memang sepadan.
  • Seorang peneliti keamanan mempertanyakan apakah mempublikasikan hasil riset seperti alat yang otomatis menghasilkan nomor telepon dari email bisa dibenarkan. Ia berargumen bahwa contoh penggunaan buruknya jauh lebih banyak daripada alasannya yang baik, dan mempertanyakan apakah peneliti dibebaskan dari tanggung jawab karena melakukannya demi "riset" dan berada di area abu-abu, atau apakah mereka merasa masalahnya sudah terselesaikan setelah berbicara dengan perusahaan yang kerentanannya mereka ungkap.
  • Pengguna terakhir menyebut bahwa ia sering memeriksa halaman trending proyek Python di GitHub, dan bingung mengapa repositori tersebut menjadi trending. Ia menganggap menarik bahwa hanya dengan diposting di Hacker News, sebuah repositori bisa naik ke halaman trending Python meskipun banyak layanan sudah memperbaiki kerentanannya.