miércoles, 20 de abril de 2016

No dejes que en tu web se produzca "Una Muerte en la Familia"

Debido a estudios, trabajo que tengo que hacer, los estudios que llevo de autodidacta, la teoría, escribir mi segundo libro, no suelo disponer de mucho tiempo para relajarme y salir a la calle para simplemente eso, relajarme y disfrutar de la compañía, pero la semana pasada, pude salir un rato, y acabé en una tienda llamada Bershka, y al llegar a la caja, me sorprendió mucho el sistema de seguridad del que disponen a la hora de dar "la vuelta" a los clientes, y me sorprendió que tuviesen tanta seguridad  en el mundo físico, así que estaba deseando llegar a casa para ver si querían ser tan seguros en Internet.


Lo que me llamó la atención es que para hacer la devolución del dinero, la chica que estaba en la caja, llamó a una compañera suya, lo que me extrañó, ya que yo decía "¿por qué no me devuelve el dinero? ¿a qué espera?". Bueno, pues resulta que llamó a la única trabajadora que sabía el código para abrir la caja registradora, me llamó también la atención, que tapase con su otra mano para que la compañera-la cual no miraba cómo tecleaba su compañera-no viese donde tecleaba, me llamó la atención, y pronto asimilé, que eso es el claro ejemplo de un 2FA en el mundo físico, con personas físicas.

Así que estaba ansioso por llegar a casa y meterme en su web a ver qué encontraba. Dicho y hecho, una vez que llegué a casa busqué un poco, y bueno, sí, me encontré que no tienen bloqueado wl Whois, mostrando así el nombre del admin.


Y bueno, unos metadatos que te mostraba el nombre completo de uno de los trabajadores, que resultaba ser el abogado de una empresa diferente a esta tienda. Se pone interesante la cosa.


Así que tuve que meterme en la web de Inditex, ya que si esta web tenía un fallo, podría afectar a Bershka, por ejemplo, que saliese algún documento del abogado diciendo que Bershka tiene irregularidades, por ejemplo. Vi la web y no encontre cosas que fuesen muy interesantes, aunque sí que entre las cosas que encontré, es que se encargan de soportar muchas tiendas de ropa como Zara.

Y vi que la web de Zara, contenía unos juicy files, así que lo analicé y me llevó a otra web la cual está vinculada con Zara, aunque no sé muy bien por qué, pero llegué a un documento de poemas, donde en ese txt, mostraba algunos mails, sería tan sencillo como probar a hacer un Phsishing simulando ser Zara para ver cómo de implicados están el uno con el otro.


Aunque el poema fuese muy bonito, debía seguir investigando tal como lo haría el mejor detective del mundo, sí, me refiero a Batman, así que entre muchas cosas, simulé en la web de Zara a realizar un ataque LFI, y me mostró que tienen contratado el WAF con Akamai, algo no muy serio, pero que si no se tiene cuidado, a lo largo del tiempo podría suponer un fallo de seguridad mucho más grave.


Bueno, pues sus metadatos también te llevaban a Inditex, y vi que Inditex también colabora con Pull And Bear, y como se puede ver en la siguiente captura, en su web, se hace una redirección afirmando esto.


Pero, siguiendo con el trabajo de investigación como si fuese Batman, me dio por ver a qué webs se conectaban en Pull And Bear, y vi que se conectaban a Ing Direct, tu banco y cada día el de más gente, pero dejando las bromas, esto supone que lo más seguro es que metan y saquen dinero en este banco, así que podríamos probar a enviar un correo simulando ser el banco ING Direct y sacar así cuentas bancarias, ya que el Phishing, es un ataque que aún a día de hoy, afecta a mucha gente.


Es importante que se tenga una buena seguridad física, como es el caso de Bershka, pero también debes preocuparte por no dejar estas pequeñas fugas de información, que sí, son pequeñas, pero que saber que dependes de otra web como puede ser Inditex, nos puede hacer que vayamos a atacar Inditex, ya que tiene relación con muchas webs de tiendas como Zara, Bershka, Pull And Bear,etc.

Hasta la Próxima Malvados

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...