Buenas a todos, en el artículo de hoy de KPMG Ciberseguridad quería hablaros de fugas de información, y en concreto sobre los millones de datos que acaban siendo indexados por Google por malas configuraciones de los servicios empresariales (habitualmente desplegados bajo instalaciones por defecto sin ningún tipo de bastionado).
En los últimos meses he dedicado varios artículos en el blog de Flu Project para hablar sobre fugas de información, y cada vez que amplío mis investigaciones al respecto y nuestros lectores nos facilitan nuevos datos, identificamos nuevas tipologías de activos empresariales con información crítica fugada en la red. Por poner un sencillo ejemplo que ilustrará claramente mis aseveraciones, veamos lo trivial que puede ser para cualquier usuario de Internet localizar bases de datos sin credenciales expuestas en la red, gracias a las capacidades avanzadas de Google (dorks). Tan solo debemos indicar la siguiente expresión de búsqueda en Google:
inurl:phpmyadmin “information_schema” filetype:php
En la imagen podréis ver más de 14.000 paneles de control Phpmyadmin con los que podréis gestionar bases de datos expuestas en la red. De entre las cuales, aunque un gran grupo posiblemente hayan sido publicadas con conocimiento de sus administradores, es muy posible que otra parte hayan sido reveladas por un fallo de configuración:
Pero Google, aunque es una de las principales puertas a la red, no es la única, como ya vimos en anteriores artículos de la cadena “El arte de la búsqueda de información”. Otro buscador importante en las tareas de búsqueda de datos fugados es shodan.io, con el cual podremos localizar por ejemplo más de 1.000.000 de paneles de control “cpanel” de hostings de organismos y particulares:
Y cuyos resultados podremos refinar aún más para filtrar por aquellos cpanel que se encuentran accesibles sin necesidad de credenciales, como por ejemplo mediante una simple búsqueda en Google, con la que se certifica que la friolera del 20% de todos ellos carecen de medidas de seguridad para proteger el acceso remoto:
inurl:login inurl:user inurl:pass -intext:pass -intext:user
Lo que os presentamos es un simple ejemplo de los millones de datos expuestos, y de los cientos de miles de activos que se encuentran accesibles a golpe de ratón. Esto deja claro la importancia de auditar los activos antes de publicarlos en Internet, la necesidad de seguir unas políticas de seguridad corporativas y por supuesto, la vitalidad de analizar de forma regular la huella digital expuesta en la red de redes, para ver “cómo nos ve” el resto del mundo.
Juan Antonio Calles
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
