viernes, 7 de octubre de 2016

Otra vez la organizadora de Ceulaj afectada por una fuga de Información de usuarios

La guerra que me traigo con Injuve es tremenda. Ya sabéis que yo he encontrado pequeños fallos que con el paso del tiempo pueden afectar gravemente a Injuve, la organizadora de Ceulaj, que es la que monta en verano el "Campus para Escritores Noveles". No hace falta que diga que en ese campus, se quedan a vivir durante 1 semana si no recuerdo mal, y esa semana, si la web de la organizadora, muy segura no es, te puedes empezar a asustar un poco. Pero nada, les estoy reportando los fallos y nada, ni caso, han dicho "Suéltalo".


Como ya he dicho en varias ocasiones, cualquier información que podamos obtener es importante. Por ejemplo, saber sobre qué está construida una web, nos puede ser muy útil para extraer información mediante la herramienta Metasploit.

Como ya sabemos por entradas anteriores, La web de Injuve, está montada en un Drupal que nos permitía saber qué usuarios estaban o no dados de alta aprovechando la información obtenida en la extracción de Metadatos.

Pues bien, auditando una web, pude enumerar los usuarios que había en dicha web y que casualmente también estaba montada en un Drupal, así que eso me hizo recordar que Injuve estaba igual montado, así que abrí mi Kali Linux y quise probar si en Injuve también se filtraban usuarios.


Usé un scanner sencillito que enumerase los usuarios para que después yo solamente tuviese que probarlos en la opción de "Recuperar mi contraseña".


Así que probé con uno de los usuarios para ver si estaba dado o no de alta.


Y nos aparecía el mensaje de "se ha enviado información adicional a tu correo electrónico", lo que implica que sí que está dado de alta ese usuario en Injuve. Además podemos crear el pánico a esta persona y enviarle un correo spoofeado con una web de Phishing que sea parecida a esta y así robarle la contraseña.

Como veis cualquier fuga de información la podemos aprovechar, aunque sea el saber sobre qué web se ha montado, ya que eso nos permite buscar scanners en Metasploit. Por eso, aunque no manejéis una web, cuidado con lo que subís o lo que vuestros amigos suben a las redes sociales, que cualquier dato que vuele, voló para siempre.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...