Hace ya unos días jugando con el buscador de Google para ver si encontraba algo nuevo me di de boca con panel para el reset de contraseñas de una empresa. Vi que no existía ningún otro método de seguridad así que con solo buscar las direcciones de correo de la gente cualquier pingüino con patas podría bloquear la cuenta de sus trabajadores. Así que me dispuse a redactar un mail no sin antes haber recopilado mas información.
Ahora, ya han puesto hasta tres fases de seguridad para que esto no pueda pasar. De esta manera y visto que ya no son tan vulnerables os copio el correo que envié como "Full Disclosure" (si se puede llamar así xD)
"Realizando la búsqueda avanzada inurl:"passwords" la aparece:
Aunque afinando un poco mas la búsqueda con site:"ogilvy.com" inurl:"passwords" aparecen una mas y dos verificación del captcha:
Esta seria una buena practica si la web fuera una red social y tuvierais miles de usuarios registrándose y olvidando sus contraseñas todos los días. Pero creo que este no es vuestro caso. Así que sí esta pagina está indexada por Google se vuelve publica y de hacerse con una dirección de correo electrónico, permitiría a un atacante suplantar al propietario de dicha cuenta y/o al menos bloquearlo ocasionando problemas a la entidad.
Esto se solucionaría con el uso de un robots.txt o de la etiquetas HTML META.
También, sabiendo que vuestras cuentas de correo tienen el nombre de @ogilvy.com se pueden localizar hasta 617 resultados con la siguiente búsqueda avanzada:
- site:"https://groups.google.com" intext:"@ogilvy.com"
Los resultados pueden contener la siguiente información y no los pongo por que si no este mail seria larguisimo:
- Firmas completas de correo electrónico (Nombre, cargo, teléfono, fax y ubicación)
- Direcciones de correo electrónicos
- Nombre de Empleados.
- Todo el contenido de los correos que se cruzaron en dichos grupos. (Algunos de confideciales)
Recuerdo que toda esta información está indexada por google, es publica para todo el mundo y es debido a que no se emplearon buenas practicas a la hora de crear el robots.txt o los grupos de google gruops.
Deberían tratar de solucionarlo/prevenirlo (ya que es muy difícil que Google borre este tipo de información de sus servidores) y/o contactar con una empresa especializada en seguridad de la información"
Cualquier comentario es bienvenido.
Sed Buenos ;)
No hay comentarios:
Publicar un comentario