Utiliza una base de datos proporcionada por el servicio Troy Hunt’s Have I Been Pwned

Después de unos meses de prueba Mozilla ha lanzado Firefox Monitor, un servicio en línea gratuito que permite a los usuarios verificar si su dirección de correo electrónico estuvo involucrada en un robo de datos conocida públicamente y registrarse para recibir notificaciones si la cuenta aparece en nuevas vulnerabilidades de datos.

Firefox Monitor funciona comprobando las direcciones de correo electrónico enviadas contra una base de datos proporcionada por el servicio Troy Hunt’s Have I Been Pwned.

Proteger la privacidad de los usuarios

Para aquellos preocupados por compartir su dirección de correo electrónico con ese servicio, la buena noticia es que Mozilla está preparada: trabajó con HIBP y Cloudflare para crear un método de intercambio de datos anónimo para Firefox Monitor.

"El nuevo servicio Firefox Monitor utilizará puntos finales de la API de consulta de rango anonimizados de Have I Been Pwned (HIBP). Esta nueva función de Firefox permite a los usuarios verificar cuentas en línea comprometidas mientras preservan su privacidad", explicó a principios de este año Luke Crouch, un ingeniero de privacidad y seguridad en Mozilla.

"Cuando un usuario envía su dirección de correo electrónico a Firefox Monitor, se procesa el valor de texto sin formato y envía los primeros 6 caracteres a la API de HIBP. La API responde con muchos sufijos y la lista de infracciones que incluyen el valor completo".

Firefox Monitor revisa luego los objetos devueltos para encontrar el prefijo (si lo hay) y el sufijo de la cuenta robada igual al valor hash enviado por el usuario, y muestra el resultado al usuario.

Esta configuración permite a Mozilla mantener el texto sin formato o los hashes de datos sensibles del usuario del servicio HIBP, y el servicio HIBP no revela su conjunto completo de hashes (y por lo tanto protege de una mayor exposición a los usuarios que han sido atacados).

Proteger el servicio y a los usuarios de los malos

Mozilla también ha implementado protecciones para minimizar el riesgo de que los atacantes hagan un mal uso del servicio.

"Los datos hash aún son vulnerables a los ataques de fuerza bruta. Un atacante aún puede recorrer un diccionario de direcciones de correo electrónico para buscar el texto sin formato de todos los resultados de la consulta de rango. Para reducir esta superficie de ataque, Firefox Monitor no almacena en su base de datos las consultas de rango ni ningún resultado. En cambio, almacena en caché los resultados de un usuario en una sesión de cliente cifrada, añadió Crouch.

"También supervisamos nuestro punto final de exploración para evitar el abuso por parte de piratas que intenten un ataque de vulnerabilidad de cuenta de fuerza bruta contra nuestro servicio".

Para aquellos interesados en los detalles técnicos acerca de la colaboración de Mozilla/HIBP para el servicio Firefox Monitor, Troy Hunt ha escrito una útil publicación en su blog.

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete