jueves, 9 de febrero de 2017

Y este el el por qué Nike no debería seguir

Por todos es sabido que Nike no defiende los derechos humanos, no obstante son muchos los que aún compran productos de Nike. Hoy realizaré un crítica a Nike ayudándome para ello de la seguridad Y es que analizaré la seguridad de Nike para hacer la crítica de esta compañía que no se preocupa de los derechos humanos.


Estaría muy mal que una empresa que pueda decir que sí se preocupa de los derechos humanos, tenga fallos importantes de seguridad. Por supuesto, no implica que si tienes fallos de seguridad ya implica que no te preocupes de los derechos humanos, pero sí es cierto que al menos, lo más básico sí que deberían hacer.



Usé mi máquina virtual con Kali Linux para sacar algunas direcciones de correo electrónico de la organización Nike. Solamente saqué una dirección, así que tenía que seguir buscando.



Usé la herramienta FOCA para extraer los metadatos de los documentos ofimáticos de Nike. Como se puede ver, de todos los datos, podemos obtener otra dirección de correo electrónico. Ya podemos jugar con esta información.


En Nike, en la parte de recuperar tu contraseña, escribes tu correo y te envían información al correo electrónico sobre cómo recuperar tu contraseña. Pensé que si escribía las direcciones obtenidas, podría saber quién tenían una cuenta, algo que puede ser de interés.


El problema viene cuando escribí una de mis direcciones de correo electrónico y ponía que me han enviado instrucciones al correo electrónico. Os pregutareis que cuál es el problema, pues bien, el problema reside en que yo, NO TENGO CUENTA EN NIKE.

Sí, por lo visto Nike responde con el mismo mensaje una vez que proporcionas un correo electrónico, aunque sea una dirección totalmente inventada.


Decidí buscar por Shodan para ver qué encontraba y sin duda, me sorprendió bastante desde el primer resultado.


En uno de los resultados aparecía un sitio donde, normalmente, entraría un administrador. Un sitio de login en HTTP y no HTTPs, lo que, como ya debéis saber, supone un gran problema en cuanto a la seguridad.


El problema principal es, por supuesto, que se puede obtener la contraseña analizando la red con un analizador de tráfico de red.


Me pareció interesante ver cómo la web de Nike va en HTTPs, pero su zona de registro no es del todo segura. Es incomprensible , aunque lo mejor viene ahora.



Lo más curioso es que en la web nike.net, el registro sí que va en HTTPs. Es decir, que en la web, que en teoría es más visitada que la que tiene como dominio .net, es menos segura. Como habéis visto, Nike tiene fallos muy básicos en cuanto a seguridad, pues es muy permisivo con determinados apartados.

¿Hackeamos el Mundo?

P.D: Estos son los árboles que he ayudado a plantar.


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...