jueves, 3 de abril de 2014

Bases de datos inyectadas en Google

Las bases de datos recopilan gran cantidad de información, eso es algo que está claro. El problema es que muchas de las bases de datos no están muy bien securizadas lo que lleva a que puedan acabar inyectadas en Google y nos puedan mostrar el usuario y contraseña del Admin de esa web.

Lo que la obtención de este usuario y contraseña, no constituiría ningún delito ya que lo único que hemos hecho es realizar una búsqueda normal en Google, en la que nos han aparecido dichos datos. Y yo no he roto nada, de ahí que en ese problema con la ley, muchas personas –de no muy buena moral- puedan sacar muy buen provecho de los datos obtenidos.

El problema en sí

El problema no es otro que ese, que nuestros datos queden inyectados en Google sin ningún tipo de problemas, a que cualquier persona puede acceder y mirar las credenciales de un administrador de una web. Además entraríamos en un problema mayor si encima dicho admin, empleara contraseñas reutilizadas para demás servicios, de los que hemos visto nada más que de una web, todas las contraseñas de sus respectivas redes sociales. Eso sí, constituiría un delito el probar esa contraseña en otros servicios ya que estaríamos intentando vulnerar o romper una medida de seguridad, pero ahí ya cada uno –que seguro que no todo el mundo tiene una buena ética y moral-.


El caso es que realizando la siguiente consulta a Internet -ext:inc intext:mysql_connect- nos aparecen multitud de bases de datos que están en Google. Con esta query (consulta) hemos pedido que nos devuelvan todas las extensiones .inc en cuyo texto ponga mysql_connect,  y efectivamente nos la han devuelto sin problemas, y pasa desapercibido para muchos administradores de sitios webs.


Como vemos nos devuelven exactamente 109.000 webs – o mejor dicho bases de datos- con las que podremos contar en cada una con el usuario y contraseña de los administradores y puede ser, que de los usuarios también. Solo tendríamos que ir abriendo cada uno de los enlaces y ver que nos dicen.


Como vemos la cantidad de información que nos muestra con tan solo una búsqueda y yo que solo he mirado – bueno mejor dicho os he plasmado- solo una web con este problema de las 109.000 bases de datos de webs que nos muestran en Google.

Yo esto como siempre lo realizo para reportarlo por aquí a los administradores de dichas webs y para que si tenéis alguna web, lo miréis y tengáis el máximo cuidado y que a pesar de que me llamen Malvado, recordar que me preocupo por vuestra seguridad –informática en este caso- para que no os pasen este tipo de cosas.

Conclusiones

Esto me llama la atención y me muestra que hay mucha información nuestra expuesta en Google y que nadie necesita que se hackeé, porque ya está puesta, solo hay que buscarla, lo que me lleva a pensar es que si a mi buen amigo “rafa1” que (no quería saber sobre seguridad pero que se pone a llorar por ver su password y usuario  no hiciese falta que hubiese hecho ese ataque, sino que simplemente buscase la base de datos de Twitter en Google y que si la encontraba, yo no le haría hecho nada malo, ya que estaba puesta su usuario y contraseña en Google, lo que posiblemente no hubiera llegado al enfado de este “señor”, por mucho que me haya preocupado por su seguridad. Pero eso ya es una cosa que ya investigaré (si la base de datos de Twitter está inyectada en Google) más adelante.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...