ईमेल से फ़ोन नंबर तक, एक नया OSINT दृष्टिकोण (2019)

 (martinvigo.com)
1 पॉइंट द्वारा GN⁺ 2023-11-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें

सारांश: ईमेल से फ़ोन नंबर तक, एक नया OSINT दृष्टिकोण

  • हाल में password reset विकल्पों की कमजोरियों और attack vectors पर शोध किया गया

  • BSides Las Vegas में Ransombile नाम का एक टूल प्रस्तुत किया गया, जो SMS के ज़रिए password reset को automate करता है और physical access वाले locked mobile devices पर targeted attack को आसान बनाता है

  • DEF CON और CCC में voicemail systems की कमजोरियों के ज़रिए फ़ोन-आधारित password reset समस्याएँ उठाई गईं

  • पाया गया कि password reset के समय UI में फ़ोन नंबर के कुछ अंक आंशिक रूप से दिखाए जाते हैं

  • अलग-अलग websites पर personally identifiable information (PII) को mask करने के तरीके का कोई standard नहीं है

  • उदाहरण के लिए, Paypal में केवल email address जानकर फ़ोन नंबर के 10 अंकों में से 5 अंक पता चल सकते हैं

गहन जाँच

  • केवल email address से password reset शुरू किए जा सकने वाले लोकप्रिय websites की सूची बनाई गई और उनकी समीक्षा की गई
  • उदाहरण के लिए, यदि किसी के eBay और LastPass accounts हैं, तो attacker केवल email address जानकर भी फ़ोन नंबर के 7 अंक पता कर सकता है

बचे हुए अंक ढूँढना

  • अमेरिकी फ़ोन नंबर area code, exchange code और subscriber number से मिलकर बनते हैं
  • North American Numbering Plan Administrator (NANPA) के माध्यम से area codes और संबंधित exchanges की updated सूची देखी जा सकती है
  • उदाहरण के लिए, San Francisco में 415 area code के लिए unassigned 216 exchange numbers को हटाकर संभावित फ़ोन नंबरों को 784 तक घटाया जा सकता है

National Pooling Administration

  • फ़ोन नंबर आवंटन को प्रबंधित करने वाली National Pooling Administration के माध्यम से subscriber number के आधार पर अमान्य फ़ोन नंबरों को हटाया जा सकता है
  • उदाहरण के लिए, Sausalito के 415-272-XXXX नंबरों में 415-272-[0-8]XXX को हटाकर केवल 9 से शुरू होने वाले नंबरों पर ध्यान दिया जा सकता है

फिर भी बहुत सारे संभावित नंबर

  • target का email address होने पर उसके फ़ोन नंबर के 7 अंक जान लेने के बाद NANPA और National Pooling Administration का उपयोग करके संभावित नंबरों की संख्या घटाई जा सकती है
  • बचे हुए नंबरों को manually जाँचने के बजाय, search engines, online services और phone system online services के माध्यम से email address से जुड़े फ़ोन नंबर खोजे जा सकते हैं

उसी attack vector का उल्टा इस्तेमाल

  • Amazon और Twitter जैसी services के माध्यम से फ़ोन नंबर से password reset आज़माकर email address के कुछ अक्षर वापस प्राप्त किए जा सकते हैं
  • email address का उपयोग करके कई sites से फ़ोन नंबर के अंक इकट्ठे किए जा सकते हैं, फिर NANPA और National Pooling Administration के public data से संभावित नंबरों की सूची घटाई जा सकती है, और अंत में बची हुई नंबर सूची पर iterate करके target के email address से मेल खाने वाले email characters का संबंध निकाला जा सकता है

automation

  • _email2phonenumber_ नाम के टूल से partial फ़ोन नंबर देकर valid फ़ोन नंबरों की सूची पाई जा सकती है, और Amazon व Twitter के password reset features का उपयोग करके बचे हुए नंबरों पर brute-force कर matching email खोजा जा सकता है

अन्य देश

  • अमेरिका के बाहर के अन्य देशों की फ़ोन नंबर प्रणालियों का उपयोग करके फ़ोन नंबर के सभी अंक इकट्ठे किए जा सकते हैं
  • उदाहरण के लिए, Spain में mobile फ़ोन नंबर 9 अंकों के होते हैं, और eBay या LastPass फ़ोन नंबर की लंबाई के अनुसार masking को adjust नहीं करते, इसलिए फ़ोन नंबर का आधे से अधिक हिस्सा पता चल सकता है

निष्कर्ष

  • PII को mask करने का कोई standardized तरीका नहीं होने से online services में email address और फ़ोन नंबर की आंशिक जानकारी लीक हो सकती है
  • खासकर उन देशों में जहाँ फ़ोन नंबर छोटे होते हैं, कई services फ़ोन नंबर की लंबाई के अनुसार masking को adjust नहीं करतीं, जिससे पूरा फ़ोन नंबर पता चल सकता है
  • सुझाव दिया गया है कि password reset के समय PII की जगह labels दिखाए जाएँ, ताकि users personal email या work phone जैसे labels सेट कर सकें

GN⁺ की राय

इस लेख का सबसे महत्वपूर्ण बिंदु यह है कि केवल email address के आधार पर फ़ोन नंबर पता करने के लिए एक नया OSINT दृष्टिकोण सामने आया है। यह तरीका privacy और security पर गंभीर प्रभाव डाल सकता है और ऐसी कमजोरियों का दुरुपयोग करने वाले attackers के प्रति जागरूकता बढ़ाने में मदद कर सकता है। यह लेख software engineering और security में रुचि रखने वालों के लिए एक दिलचस्प विषय प्रस्तुत करता है और personal data protection के महत्व को रेखांकित करता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-11-18
Hacker News राय
  • एक उपयोगकर्ता ने साझा किया कि उसने एक आधे-अधूरे ठग जैसे विक्रेता से कार के पार्ट्स खरीदे थे, लेकिन विक्रेता ने कई हफ्तों तक पैसे लेने के बाद भी पूरा ऑर्डर डिलीवर नहीं किया। कई प्लेटफ़ॉर्म पर बातचीत करते हुए उसने विक्रेता की कुछ पहचान संबंधी जानकारी हासिल की, फिर उसके ज़रिए विक्रेता के कार्यस्थल पर फ़ोन करके पार्ट्स भेजने को कहा, और उसके बाद विक्रेता ने अगले दिन सभी सामान भेज दिए।
  • एक अन्य उपयोगकर्ता ने CNAM डेटाबेस (केवल अमेरिका) का उल्लेख किया और समझाया कि इसका उपयोग टेलीकॉम कंपनियाँ alphabetic caller ID देने के लिए करती हैं, लेकिन ज़्यादातर कैरियर यह जानकारी दिखाते नहीं हैं, फिर भी यह सुलभ रहती है। CNAM डेटाबेस को क्वेरी करना मुफ़्त नहीं है, लेकिन अपेक्षाकृत कम लागत में सैकड़ों नंबर देखने का तरीका मिल सकता है।
  • एक उपयोगकर्ता ने बताया कि PayPal केवल email address जानने पर area code सहित पाँच अंकों की संख्या दिखाता है, और अगर हमलावर को लक्ष्य का password पता हो तो केवल तीन अंक ही दिखते हैं। उसने आलोचना की कि PayPal इसे design issue मानकर भी कोई कार्रवाई नहीं कर रहा है। उसने यह भी पूछा कि LinkedIn से नंबर कैसे प्राप्त किया जा सकता है या किसी और जगह से उसे नंबर से कैसे जोड़ा जा सकता है।
  • एक अन्य उपयोगकर्ता ने virtual number इस्तेमाल करने पर विचार करने की सलाह दी, और कहा कि दूसरी SIM card का विकल्प अमेरिका में अब भी अपेक्षाकृत दुर्लभ है। उसने यह भी कहा कि कई साइटें फ़ोन नंबर lookup करके VOIP provider को ब्लॉक कर देती हैं, जिसके कारण कभी-कभी अकाउंट दोबारा इस्तेमाल नहीं किया जा सकता।
  • स्वीडन के एक उपयोगकर्ता ने बताया कि उसका email और फ़ोन नंबर कई directories में सार्वजनिक रूप से सूचीबद्ध हैं, और स्वीडन में पता और फ़ोन नंबर को searchable बनाना एक सामान्य प्रथा है। उसने कहा कि इस तरह की सार्वजनिक personal information का एक सकारात्मक पक्ष यह है कि लोग इसे कोई गुप्त चीज़ नहीं मानते, और किसी का नंबर जान लेने से उसकी नकल करना आसान नहीं हो जाता।
  • एक उपयोगकर्ता ने privacy के लिए नाम को थोड़ा बदलकर लिखने का एक मज़ाकिया तरीका इस्तेमाल किया।
  • एक venture capitalist ने कहा कि यह उन लोगों के लिए उपयोगी तकनीक है जो email को नज़रअंदाज़ करते हैं।
  • एक अन्य उपयोगकर्ता ने कहा कि हर service के लिए अलग email address और Google Voice नंबर इस्तेमाल करने की झंझट आखिरकार सार्थक साबित हुई।
  • एक security researcher ने सवाल उठाया कि क्या email से फ़ोन नंबर अपने-आप जनरेट करने वाले टूल जैसे research results को सार्वजनिक करना उचित है। उसका तर्क था कि इसके बुरे use cases अच्छे कारणों की तुलना में कहीं ज़्यादा हैं। उसने यह भी पूछा कि क्या researcher को सिर्फ़ इसलिए छूट मिल जाती है क्योंकि वह इसे 'research' के लिए कर रहा है और यह एक gray area में आता है, या उसने vulnerability उजागर करने वाली कंपनी से बात करके समस्या के समाधान को पर्याप्त माना।
  • अंतिम उपयोगकर्ता ने कहा कि वह GitHub के Python project trending page को अक्सर देखता है, और उसे समझ नहीं आता कि यह repository क्यों trend कर रही है। उसे यह दिलचस्प लगा कि बहुत-सी services द्वारा vulnerability ठीक किए जाने के बाद भी सिर्फ़ Hacker News पर पोस्ट हो जाना इसे Python trending page तक पहुँचा सकता है।