10 ago. 2018

Cr3dOv3r: encontrar contraseñas reutilizadas

Un estudio reciente arroja como resultado que el 52% de los usuarios reutiliza las contraseñas. Es decir, más de la mitad de los usuarios utiliza exactamente la misma password (o una muy parecida) en varios servicios web diferentes, lo que posibilita a un atacante comprometer varias cuentas de su víctima "de un plumazo".
Y para hacerlo aún más fácil, el egipcio Karim Shoair (aka D4Vinci) ha creado una herramienta en Python llamada Cr3dOv3r que facilita mucho el trabajo a la hora de realizar ataques de reutilización de contraseñas.
Básicamente, con una cuenta de correo Cr3dOv3r realiza dos simples pero útiles tareas:
  • Busca en leaks públicos la cuenta indicada y devuelve el resultado con los detalles más útiles (utilizando la API de HaveIBeenPwned) e intenta obtener las contraseñas en texto claro que encuentre (utilizando @GhostProjectME).
  • Si seteas la contraseña, prueba además esas credenciales contra algunos sitios web conocidos (por ejemplo, Facebook, Twitter, Google ...) e informa si el inicio de sesión fue exitoso.
git clone https://github.com/D4Vinci/Cr3dOv3r.git
cd Cr3dOv3r
python3 -m pip install -r requirements.txt
python3 Cr3dOv3r.py -h
Fuente: HackPlayers

1 comentario:

  1. Al pegar el comando: python3 -m pip install -r requirements.txt
    me devuelve lo siguiente: /usr/bin/python3: No module named pip
    Intentado en Kali Linux, el git clone funciono de lo mas bien.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!