miércoles, 12 de octubre de 2016

Fuga de información en la Junta de Andalucía que permite ver los usuarios ya hackeados

Lo de hoy es otro leak de información, en este caso de la Junta de Andalucía. Y es que a día de hoy, el que se dedique a Big Data, no solamente se va a forrar, sino que además va a disponer de mucha información que debe analizar, y al analizarla, se encontrará con diferentes caminos para comprometer la seguridad de un sitio web o de una persona.


Esta vez he usado la máquina virtual que tengo con Kali Linux para poder obtener un listado de direcciones de correo electrónico de la Junta de Andalucía. No me preguntéis por qué, pero eran las 6 de la mañana y me dio por la Junta de Andalucía.


Una vez obtenido el listado de direcciones de correo busqué en Internet qué información había sobre los correo que se viesen claramente que es sólo una persona, un ejemplo ese correo que pone "pablo".


Buscando información de este tal "Pablo", di con su Linkedin, y me acordé de que en Linkedin si a la hora de hacer login escribes el correo correcto pero la contraseña incorrecta, te muestra por pantalla el mensaje de "Contraseña incorrecta" lo que nos hace ver que ese correo existe realmente. Esto será posiblemente porque en sus algoritmos y en su pseudocódigo habrán dicho algo como "Si correo existe, no muestres por pantalla nada, sino, escribe correo incorrecto" y lo mismo con la contraseña. Estos detalles es importante tenerlos en cuenta pues nos dan pistas muy valiosas. Además, en la barra de direcciones se ve que tras escribir esa dirección de correo de Pablo y una contraseña cualquiera, me dice que me ha enviado información a mi correo-el de Pablo- para restablecer la contraseña, lo que nos termina de decir que sí que existe dicha cuenta.


Y finalmente buscando en Have I been Pwoned? ese mail, nos devuelve que se ha filtrado en hackeos de Adobe y Linkedin, lo que nos dice 2 cosas:

                      1. Esa cuenta con ese correo de Linkedin, realmente existe y además se ha filtrado ese usuario con la contraseña casi seguro en Internet, ya solo tenemos que buscar por Internet, en sitios como Pastebin.

                      2. Ha usado el correo de empresa para registrarse en varias webs, lo que muestra poca cultura sobre seguridad. Nunca os registréis con vuestro correo de empresa...a no ser que seáis unos trabajadores enfadados con vuestra empresa, en ese caso, adelante :P

Una vez más, habéis visto cómo por una fuga de información "tonta" hemos conseguido saber quién está tras una identidad digital y además saber si ha sido hackeado y si reutiliza el correo electrónico para darse de alta en webs. Mucha información que bien analizada y bien ejecutada, puede suponer un gran incidente.

¿Hackeamos el Mundo?

P.D: Creo que no hace falta que recuerde que sabemos su mail y que podríamos robarle la contraseña mediante un Phishing...y si reutiliza la contraseña...OWNED TOTAL.




No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...