lunes, mayo 05, 2014

Gmail, borraste en Google pero te quedan 121.000 en Bing

Durante el año pasado ya os conté que me puse en contacto con el equipo de seguridad de Gmail porque me parecía que había demasiadas URLs indexadas en Google con parámetros de cuentas de Gmail. En total había más de 79.000 URLs indexadas que podrían suponer una fuga de información fea.

Figura 1: En Octubre había 79.400 URLs indexadas

Como os conté en aquel entonces, el equipo de seguridad de Google me digo que no era un leak y que no iban a hacer nada pero poco a poco fueron bajando las URLs indexadas para que al final, hace menos de un mes, casi todas las URLs desaparecieron de Google. En aquel entonces aparecían indexadas solo 168 URLs, lo que dejaba claro que algo habían hecho desde Google para quitarlas todas.

Figura 2: En abril solo quedaban 168 URLs

Hoy en día, las URLs de Gmail indexadas en Google han vuelto a subir un poco, y ya sobrepasan las 340, lo que hace suponer que lo que hizo el equipo de seguridad fue una limpieza puntual de URLs indexadas utilizando las Herramientas del Webmaster para que Google las eliminase y ahora están volviendo a subir porque no usaron ni X-Robots-Tag NoIndex ni la etiqueta HTML Tag Meta NoIndex. De nuevo se ven pequeños leaks con URLs enlazadas desde Gmail o direcciones de correo electrónico.

Figura 3: URLs de Gmail indexadas en Mayo de 2014

Lo que creo que confirma que Google hizo esa limpieza usando las Herramientas del Webmaster de Google es que si te vas a Bing y buscas las URLs de Gmail indexadas en ese buscador, puedes encontrar más de 121.000 disponibles.

Figura 4: 121.000 URLs indexadas en Bing

Puedes jugar con ellas, y encontrar las pequeñas fugas de información de los que hablaba al principio, como números de teléfono, direcciones de correo indexadas o parámetros de composición de mensajes.

Figura 5: Algunas URLs de Gmail en la base de datos de Bing

Si vas a buscar en Bing haciendo Hacking con Buscadores  - aquí te dejé 10 motivos por los que debías pensar en hacerlo - recuerda que el Bing Hacking no tiene los mismos parámetros de búsqueda que el Google Hacking y que inurl no es necesario, basta con que pongas la cadena en la búsqueda que Bing ya la busca en la URL.

Figura 6: Un URL de Gmail que tiene algo que ver con Pedro

Así, si quieres alguna URL de Gmail que tuviera que ver con Pedro, solo tienes que poner lo que ves en la imagen siguiente y Bing te devolverá esa URL que se indexó y que tenía algo que ver con Pedro.

Saludos Malignos!

3 comentarios:

  1. Al menos no te lo tacharon de 'duplicado'. Yo reporté un XSS en Blogger y me contestaron en torno a la media hora. En menos de 6 horas ya estaba corregido. Como no recibí respuesta tras el parche, me puse de nuevo en contacto con ellos pasados los 5 días, y me dijeron que ya lo había reportado otra persona antes que yo. Tras decirles que era totalmente injusto me respondió otra persona de Google diciendo "First in, first dressed". Y bug resuelto.

    ResponderEliminar
  2. Curioso, he buscado en bing y solo me salen 7 entradas... serà pq salgo por un proxy de Alemania?

    ResponderEliminar
  3. Hey!

    Sobre el Blogger XSS, investigue sobre el reporte. El primer reporte del bug sucedio 2 semanas antes que el tuyo (no dimos recompenza, solo credito en la hall of fame).

    Disculpa si nos comunicamos incorrectamente, no fue la intencion :).

    ResponderEliminar