Contraseñas en texto claro indexadas por Google

De Unknown -

Hablar a esta altura del poder que tiene Google para indexar sitios web y todo su contenido ya no tiene mucho sentido. Pero evidentemente hay personas que todavía no son lo suficientemente conscientes de ello.

Todos deberíamos estar atentos y cuidar la información que dejamos expuesta al público en la web, ya que la misma estará disponible para todo el mundo. Y, como si fuera poco, Google (y otros buscadores también) se encargará de indexarlo y servírselo a todo aquel que lo requiera.

Hoy se me ocurrió ver qué datos de información sensible tiene indexados el buscador de Mountain View y empecé por lo más jugoso: nombres de usuario y contraseñas. Por lo tanto comencé con un dork muy simple que, para mi sorpresa, arrojó muchos mas resultados de los esperados.

El dork que utilicé ha sido el siguiente:

(filetype:xls OR filetype:txt) AND "password" AND ("username" OR "ID") AND "ftp"

De esta manera la búsqueda arrojó archivos de hojas de cálculo y de texto en los que se incluía la palabra password, además la palabra username o ID y la palabra ftp, y ha arrojado un total de 5.840 resultados.


Busqueda: (filetype:xls OR filetype:txt) AND "password" AND ("username" OR "ID") AND "ftp"


Obviamente todos los resultados no contienen los datos que yo buscaba, pero ha sido tal la rapidez con la que encontré archivos jugosos que no tuve la necesidad de afinar la búsqueda.



Ejemplo jugoso


A continuación voy a dejarles un ejemplo en el cual encontré una punta de ovillo y eso me ha llevado a obtener varias credenciales correctas de cuentas activas.


image


Por razones obvias he difuminado la imagen para no difundir datos confidenciales de forma explícita, pero los mismos se encuentran online y públicos, por lo tanto no tendrán inconvenientes en encontrarlos.


Dentro de ese archivo hay no solo credenciales de FTP, sino también de hostings web. Por lo tanto se puede ingresar al mismo y obtener datos confidenciales de la cuenta.


Con todas esas credenciales se puede ingresar al panel del sitio web de alojamiento virtual.


image


Se me ocurre ingresar al web mail, al cual se ingresa con las mismas credenciales, y tengo todo el acceso.


image


Dentro de la cuenta FTP se encuentran almacenados todos los correos electrónicos. Por lo que no solo están accesibles desde la web mediante un web mail, sino que también con sólo conocer las credenciales a la cuenta de FTP, podemos acceder a todos los mails.


image


Obviamente solo entré para confirmar que las credenciales son válidas, pero no hice absolutamente nada, ni siquiera leer su correo. Pero esto está accesible para cualquier persona que tenga acceso a Internet, y no creo que todo el mundo tenga las mismas intenciones que yo, por lo tanto es un riego bastante alto que se corre al exponer toda esta información.


Seguramente esta persona ni siquiera sepa que la información de acceso a su información (valga la redundancia) se encuentra abierta y disponible para los 2.267.233.742 de usuarios que tiene la red de redes (más información aquí).


Esto nos deja varias conclusiones y/o recomendaciones a tomar en cuenta, como por ejemplo que hay que saber en quién confiamos nuestros datos, dónde publicamos nuestra información, quienes son los usuarios que deben tener accesos a la información y qué accesos deben tener, pero la más importante es la concientización.


Si todos somos conscientes de los riesgos a los cuales nos sometemos al realizar diferentes acciones o al ignorar ciertas medidas de seguridad, pondríamos mayor atención a la custodia de nuestros datos.

Comentarios

Publicar un comentario

Siéntase libre de dejar su comentario a continuación...

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

De pcastagnaro -
Imagen
Quiero compartir con ustedes una utilidad muy importante, tanto para el escaneo de virus como para la recuperación de datos en una PC. Trinity Rescue Kit (TRK) es una distribución Linux que se ejecuta como un LiveCD (es decir, se bootea desde el arranque de la máquina) para poder escanear y chequear los discos duros desde fuera . Si bien se puede chequear cualquier sistema operativo, su uso está dirigido a aquellos sistemas con Windows que pueden haber sido afectados por un virus o con pérdida de datos. Se basa en un kernel de la distro Mandriva para utilizar los comandos y demás. Para remover los virus, utiliza 4 motores de antivirus muy poderosos: BitDefender Scanner, Grisoft AVG, F-prot y Clamav . Un agregado importante es que si tenés una conexión a internet que utilice DHCP, las bases de los antivirus se actualizarán inmediatamente.
Leer más

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

De Unknown -
Imagen
Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake. Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.
Leer más

15 Editores Hexadecimales para Windows y Linux

De pcastagnaro -
Imagen
Esta es una recopilación con los editores hexadecimales que se han ido mencionando para ver sus características más importantes y resumirlas en esta entrada. Pese a que todos son usados para lo mismo, las diferencias entre muchas de ellas son importantes y dependiendo de la situación y los requisitos es posible que se use más de una. Como siempre, lo mejor es descargar una demo de todas e ir probando sus funcionalidades. Al final cada persona aprecia aspectos distintos.
Leer más