Durante el año pasado ya os conté que me puse en contacto con el equipo de seguridad de Gmail porque me parecía que había demasiadas URLs indexadas en Google con parámetros de cuentas de Gmail. En total había más de 79.000 URLs indexadas que podrían suponer una fuga de información fea.
Figura 1: En Octubre había 79.400 URLs indexadas |
Como os conté en aquel entonces, el equipo de seguridad de Google me digo que no era un leak y que no iban a hacer nada pero poco a poco fueron bajando las URLs indexadas para que al final, hace menos de un mes, casi todas las URLs desaparecieron de Google. En aquel entonces aparecían indexadas solo 168 URLs, lo que dejaba claro que algo habían hecho desde Google para quitarlas todas.
Figura 2: En abril solo quedaban 168 URLs |
Hoy en día, las URLs de Gmail indexadas en Google han vuelto a subir un poco, y ya sobrepasan las 340, lo que hace suponer que lo que hizo el equipo de seguridad fue una limpieza puntual de URLs indexadas utilizando las Herramientas del Webmaster para que Google las eliminase y ahora están volviendo a subir porque no usaron ni X-Robots-Tag NoIndex ni la etiqueta HTML Tag Meta NoIndex. De nuevo se ven pequeños leaks con URLs enlazadas desde Gmail o direcciones de correo electrónico.
Lo que creo que confirma que Google hizo esa limpieza usando las Herramientas del Webmaster de Google es que si te vas a Bing y buscas las URLs de Gmail indexadas en ese buscador, puedes encontrar más de 121.000 disponibles.
Puedes jugar con ellas, y encontrar las pequeñas fugas de información de los que hablaba al principio, como números de teléfono, direcciones de correo indexadas o parámetros de composición de mensajes.
Si vas a buscar en Bing haciendo Hacking con Buscadores - aquí te dejé 10 motivos por los que debías pensar en hacerlo - recuerda que el Bing Hacking no tiene los mismos parámetros de búsqueda que el Google Hacking y que inurl no es necesario, basta con que pongas la cadena en la búsqueda que Bing ya la busca en la URL.
Figura 6: Un URL de Gmail que tiene algo que ver con Pedro |
Saludos Malignos!
Al menos no te lo tacharon de 'duplicado'. Yo reporté un XSS en Blogger y me contestaron en torno a la media hora. En menos de 6 horas ya estaba corregido. Como no recibí respuesta tras el parche, me puse de nuevo en contacto con ellos pasados los 5 días, y me dijeron que ya lo había reportado otra persona antes que yo. Tras decirles que era totalmente injusto me respondió otra persona de Google diciendo "First in, first dressed". Y bug resuelto.
ResponderEliminarCurioso, he buscado en bing y solo me salen 7 entradas... serà pq salgo por un proxy de Alemania?
ResponderEliminarHey!
ResponderEliminarSobre el Blogger XSS, investigue sobre el reporte. El primer reporte del bug sucedio 2 semanas antes que el tuyo (no dimos recompenza, solo credito en la hall of fame).
Disculpa si nos comunicamos incorrectamente, no fue la intencion :).