sábado, 8 de abril de 2017

HazteOir, porque pensar...

Hace ya un tiempo de cuando salió el famoso autocar de HazteOir fomentando el odio por ser potencialmente estúpidos y considerar, que los transgénero, no tienen cabida. Hoy voy a enseñar, como en la seguridad y en el mundo intelectual, los que no tienen cabida son ellos.



No quiero usar técnicas de hacking "muy complicadas" porque, para empezar, no se requieren para poder meter en un problema con la seguridad a los de HazteOir. Cualquiera que siga este blog podría hacer lo que hoy he hecho yo aquí.



Si nos metemos en su robots.txt, podremos sacar en claro que su CMS está montado con un Drupal, y esto, nos puede ayudar mucho para saber qué cosas podríamos hacer para conseguir provocarles una gran fuga de información que pueda llevarles a un fallo de seguridad mayor.


Así que se podría empeza por la zona de la web donde la gente que haya olvidado su contraseña, pueda restablecerla, ya que aquí, Drupal sufre una gran fuga de informació, pues te dice si el usuario existe o no. En este caso, esta dirección de correo que hemos obtenido de uno de los miembros de HazteOir, no existe.


No obstante, si probamos con una dirección de correo electrónico que sí que exista, podemos ver como nos dice que se ha enviado informacón a la dirección de correo electrónico que se ha dado. Una gran fuga de información que nos hace saber qué usuarios están o no dados de alta; lo que nos permitiría realizar un ataque solamente a aquellos que existen en la web de HazteOir, y esta reducción de espacio por atacar, nos podría facilitar mucho la tarea.


Otro de los problemas de la web de HazteOir es que va en HTTP, con lo cual, ya todos deberíais saber lo que implica.


Que si estuviésemos en la misma red wifi que algunos de los miembros, por ejemlo el administrador, podríamos conocer su contraseña.


Conociendo las direcciones de correo electrónico que hemos obtenido tras ver cómo HazteOir no limpia los metadatos de sus documentos ofimáticos, podríamos saber también quienes están en una u otra red social, lo que pos permitiría, por ejemplo, enviarles un phishing con los sitios en los que está dados de alta y así robarles sus contraseñas y si además viésemos que reutilizan sus contraseñas, pues el fallo es mucho mayor.


Si somos muy vagos, también podemos utilizar Have I Been Pwoned! para saber si ya en el pasado han sido hackeados. En este caso vemos que sí, y en un sitio que, considero que es de los pocos en los que no deberían permitirse ser hackeados.


Ese sitio, por si alguno no lo sabe, es un sitio que te permite hacer tracking de tu dispositivo móvil. Supongo que usarán esto para saber por dónde va el tío del autocar, pero sin duda, que un atacante pueda saber por dónde pasa o va a pasar la gente de HazteOir, no es muy buena idea. Y que tengan accesos a sus log de llamadas, sus Whatsapps y demás; mucho menos.


Aquí, esta parte es muy irónica, por que ¡fíjate tú por dónde! que ¡LOS DE HAZTEOIR NO ESTÁN ACTUALIZADOS!...Unos tíos que todavía viven en las cavernas, no están actualizados, no son modernos...menuda cruel ironía. Vemos que uno de los sistemas que más usan es un Windows XP, y como he dicho antes, si habéis seguido este blog, sabéis que Windows XP está gravemente afectado por los atacantes que quieran obtener acceso  sus sistemas, mientras que Windows 7, está más protegido en eso.


Si buscamos, encontramos un listing con una zona donde si introduces el nombre y el email correcto, te suscriben al boletín informativo que elecciones. En este caso, seleccioné todos los boletnes informativos e introduje los datos que veis en la captura anterior.


Y conseguí llenarles el buzón de entrada de SPAM, para que así puedan estar despistados, encargados de limpiar su correo mientras los ataques se realizan por otro lado.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...