martes, 22 de enero de 2019

Obtener las backups de las bases de datos de las organizaciones víctimas con OSINT

Y terminamos con esta trilogía de posts breves sobre Google Hacking y OSINT y cómo aprovecharlo con algo que me llama la atención de que muchas organizaciones sufran y no hagan nada para remediarlo por pereza o por el puro desconocimiento de que esto esté ocurriendo. El caso es que dejamos mucha información relevante de forma pública, pero dejar una base de datos con los datos en claro, eso ya es otro nivel.



Es posible acceder a las backups de una base de datos realizando dorks específicas, dorks que nos pueden llegar a mostrar hasta los INSERTS realizados a cada tabla con los datos en claro, algo bastante peligroso y que vulnera la GDPR.



Muchas veces, por seguridad, hacemos un mysqldump de nuestras bases de datos para tener un backup para que, en caso de fallo del sistema o de la propia base de datos, podamos pasar ese backup al servidor de backup y hacer el import en ese servidor de backup y dejarlo funcionando mientras realizamos el mantenimiento en el servidor de PROD.

Esto está bien siempre y cuando dejemos esa backup en otro servidor para no poner todos los huevos en la misma cesta. Pero también tenemos que tener cuidado de que esa backup no se haga pública, lo que permitiría a cualquier atacante leer fácilmente la información de la base de datos (si está en claro) y utilizarla en su propio beneficio.


Por ejemplo podemos ver  cómo se crea una tabla e inmediatamente después se realizan los inserts de los datos, con-entre otros datos- nombres de usuario, email o incluso passwords. Información que puede ser utilizada por cualquier atacante en su propio beneficio. Por lo que cuidado con este y no dejemos esta información tan sensible de forma pública, y menos en claro y sin cifrar.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...