Las bases de datos recopilan gran cantidad de información,
eso es algo que está claro. El problema es que muchas de las bases de datos no
están muy bien securizadas lo que lleva a que puedan acabar inyectadas en
Google y nos puedan mostrar el usuario y contraseña del Admin de esa web.
Lo que la obtención de este usuario y contraseña, no
constituiría ningún delito ya que lo único que hemos hecho es realizar una
búsqueda normal en Google, en la que nos han aparecido dichos datos. Y yo no he
roto nada, de ahí que en ese problema con la ley, muchas personas –de no muy
buena moral- puedan sacar muy buen provecho de los datos obtenidos.
El problema en sí
El problema no es otro que ese, que nuestros datos queden
inyectados en Google sin ningún tipo de problemas, a que cualquier persona
puede acceder y mirar las credenciales de un administrador de una web. Además
entraríamos en un problema mayor si encima dicho admin, empleara contraseñas
reutilizadas para demás servicios, de los que hemos visto nada más que de una
web, todas las contraseñas de sus respectivas redes sociales. Eso sí,
constituiría un delito el probar esa contraseña en otros servicios ya que
estaríamos intentando vulnerar o romper una medida de seguridad, pero ahí ya
cada uno –que seguro que no todo el mundo tiene una buena ética y moral-.
El caso es que realizando la siguiente consulta a Internet -ext:inc
intext:mysql_connect- nos aparecen multitud de bases de datos que están en
Google. Con esta query (consulta) hemos pedido que nos devuelvan todas las
extensiones .inc en cuyo texto ponga mysql_connect, y efectivamente nos la han devuelto sin
problemas, y pasa desapercibido para muchos administradores de sitios webs.
Como vemos nos devuelven exactamente 109.000 webs – o mejor
dicho bases de datos- con las que podremos contar en cada una con el usuario y
contraseña de los administradores y puede ser, que de los usuarios también.
Solo tendríamos que ir abriendo cada uno de los enlaces y ver que nos dicen.
Como vemos la cantidad de información que nos muestra con
tan solo una búsqueda y yo que solo he mirado – bueno mejor dicho os he
plasmado- solo una web con este problema de las 109.000 bases de datos de webs
que nos muestran en Google.
Yo esto como siempre lo realizo para reportarlo por aquí a
los administradores de dichas webs y para que si tenéis alguna web, lo miréis y
tengáis el máximo cuidado y que a pesar de que me llamen Malvado, recordar que
me preocupo por vuestra seguridad –informática en este caso- para que no os
pasen este tipo de cosas.
Conclusiones
Esto me llama la atención y me muestra que hay mucha
información nuestra expuesta en Google y que nadie necesita que se hackeé,
porque ya está puesta, solo hay que buscarla, lo que me lleva a pensar es que
si a mi buen amigo “rafa1” que (no quería saber sobre seguridad pero que se
pone a llorar por ver su password y usuario no hiciese falta que hubiese hecho ese ataque, sino que
simplemente buscase la base de datos de Twitter en Google y que si la
encontraba, yo no le haría hecho nada malo, ya que estaba puesta su usuario y
contraseña en Google, lo que posiblemente no hubiera llegado al enfado de este
“señor”, por mucho que me haya preocupado por su seguridad. Pero eso ya es una
cosa que ya investigaré (si la base de datos de Twitter está inyectada en
Google) más adelante.
Saludos Malvados!
No hay comentarios:
Publicar un comentario