新的OSINT技术利用密码重置的过程来获取用户的电话号码

处理私人信息缺乏一些标准化的措施，使得黑客能够有机可乘。

较多的网站未能正确掩盖用户的个人身份（PII），可能会使网络犯罪分子获取到电话号码和电子邮件地址等记录。

网络上许多知名公司的密码重置功能缺乏标准化，这已经形成了一个安全漏洞，可以被犯罪分子用来获取目标的完整电话号码。

在本月早些时候的DEF CON安全会议上，研究人员Martin Vigo 演示了一种使用开源情报（OSINT）通过公共资源和密码重置功能获取目标电话号码的技术。

如果您忘记了在线帐户的密码，则标准做法是通过您的电子邮件地址或电话号码请求重置密码。在后一种情况下，通常会从电话号码中显示几位数字。

因为在线服务商的差异导致被泄露的电话号码的数字与位数是不同的，例如，eBay提示前三位和后两位数字，PayPal提示前四位和后四位，LastPass提示最后四位数字。

攻击者能够向不同的提供商提交多个密码恢复请求，它可以相对容易地获得最多七位数字。

Vigo说，通过这种技术，"将猜测电话号码的可能性从10亿个减少到一千个"。

填补空白的电话位数

对于美国用户而言，供应商提供的PII包括用户号码和区号（NPA）两部分，但缺少三个与中央办公代码（也称为交换号）相关的数字。

这些数据可以通过北美电话号码计划管理员（NANPA）和国家联合管理局提供的公共数据集获得。

即使美国的目标只拥有一些在线帐户，例如eBay和PayPal帐户，这些公共存储库也可用于填补空白的电话位数。

包括冰岛和爱沙尼亚在内的一些国家仅使用七位手机数字来进行相关注册。在这些情况下，只需向几个供应商发送电子邮件地址和密码恢复请求，就可以获得完整的电话号码。

电话号码和连接的电子邮件帐户的泄漏可能导致 SIM 交换、用户跟踪、来电显示欺骗和社会工程学攻击。

也可以通过Namechk，数据存储库和Burp Suite Intruder模块来执行手动攻击。

然而，随着免费的“email2phonenumber”工具的发布，Vigo已经将所有的工作从程序中表现出来，该工具可以自动执行OSINT技术。

研究人员还正在开发一项在线服务，该服务将能够自动生成多个国家/地区可能的电话号码列表。

PII 发展

Vigo 在接受The Daily Swig采访时表示，尽管强制通过行业标准可能被视为“过度扼杀”，以减少部分个人信息泄露，但至少行业参与者应该就最佳实践达成一致。

“理想情况下，我们不会向未经授权的用户泄露任何内容，例如那些只知道您的电子邮件地址的用户，”Vigo说。“我不明白为什么它是必要的，它会带来其他威胁。”

安全研究员提出的一个建议是使用标签。例如，用户可以基于“工作”或“个人”标记电子邮件地址，因此当请求密码重置时，该标签充当内存触发器，而不是从电话号码中提取数字。

“我的研究显示了如何通过从不同的站点收集数字来恢复整个电话号码，”Vigo补充道。“这是整个行业的一个问题，我们不能单独看待。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://portswigger.net/daily-swig/new-osint-technique-exploits-password-reset-process-to-obtain-users-phone-numbers