viernes, 2 de mayo de 2014

En SoundCloud no le hacen caso a los Juicy Files

Como ya dije en el post de ayer explicando lo sucedido con "rafa1", uno de los sitios de donde vi que su usuario y contraseña, fue en la conocida plataforma de música Sound Cloud-además que vi una base de datos inyectada en Google con sus credenciales-. Yo he reportado ahora mismo esto a los que deben saberlo para que hagan lo que consideren.

Esto fue un día de aburrimiento en el que me puse a "jugar" con unas aplicaciones y unos servidores hasta que dí con Sound Cloud y decidí hacer un poco de Pentesting con FOCA, como con el gabinete de Tony Blair. Con el que poco a poco me fui adentrando y me encontraba cosas bastantes interesantes. Lo primero de todo fue crear el proyecto y descargarme los documentos ofimáticos-como los procedimientos de siempre-.


En un primer momento me sorprendió que solo hubiesen 6 documentos ofimáticos y todo PDFs, pero yo igualmente los extrai para ver lo que me daban y me encontré que sólo me daba un Software, con el que me planteaba que mi prueba de Pentesting había fracasado y me tendría que ir a dormir sin conseguir la prueba de Pentesting que buscaba.


Pero cuando estaba a punto de cerrar mi ordenador, me acordé que se me había pasado mirar las vulnerabilidades que me marcaba la FOCA  y vi esos maravillosos Juicy Files que me iban a arreglar aquella maravillosa "Malvado-Noche" y que haría ir tirando de mi alma Malvada hasta dar con el usuario y contraseña del ya más que mencionado y cansino "rafa1".


Entonces me puse a "Snoopear" el DNS para ver si me encontraba algo que fuese de interés, pero lo único que veía eran cosas normalitas en la que cualquiera podría meterse, pero yo ya empezaba a pensar en meterme en los robots de Sound Cloud con la que tras mucho buscar entre las marañas que me iba encontrando, dí con la base de datos que empezaría el ataque al usuario y contraseña del ya más que mencionado y cansino "rafa1".

Conclusiones

Está claro que no limpiar los Metadatos, suelen traer problemas bastantes gordos como en este caso que empiezas y sigues con el "juego", hasta que te encuentras con usuarios y contraseñas-la cosa más normal que se suele encontrar uno- y alguna que otra cookies de sesión con pasaportes, DNIs, Direcciones, códigos postales, números de teléfono, números de cuentas bancarias; por hacer alusión algunos de ellos y no de todo lo que nos podemos encontrar en una cookie de sesión.

Por eso que a mis familiares y gente más cercana y que tengo más aprecio en mi entorno, les aconseje que limpien todos o casi todos los metadatos de sus respectivos documentos ofimáticos, vídeos y fotos que vayan a compartir en Internet si no quieren arrepentirse el día de mañana.

Saludos Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...