jueves, abril 30, 2015

El índice de Google te filtra los autores de documentos privados en Google Drive

Al igual que os conté hace ya mucho tiempo en un artículo que sucedía con Skydrive donde la gente guarda de forma pública de todo, Google está indexando los contenidos de Google Drive y también se puede encontrar de todo. La gente, como viene siendo habitual en estos casos guarda sus documentos personales, sus fotografías e incluso documentos oficiales, por lo que con echar un poco de tiempo se puede encontrar una miriada de información de lo más peculiar.

Figura 0: El índice de Google leakea datos privados de Google Drive

Entre las cosas a buscar, mi compañero Ioseba Palop me dijo que buscando por las cadenas que tienen que ver con el gobierno de USA salen muchos documentos oficiales escaneados - y alguna foto que tal vez no quieras ver - y que basta con hacer un dork como éste [site:drive.google.com USG] para encontrar los docs que te interesan. Cambia las siglas de la organización por las que necesites.

Figura 2: Documentos indexados y compartidos de USG en Google Drive

Si quieres buscar entre las carpetas compartidas con documentos no indexados, puedes buscar que en la URL esté el parámetro folderview como me envió el amigo rootkit. Hay 124.000 carpetas para perder el tiempo rebuscando por allí.


Figura 3: Carpetas compartidas en Google Drive indexadas en Google

El resto del juego ya te lo conoces, rebuscar entre lo que la gente ha dejado público, que puede ser de todo. Es más que conveniente que si velas por la seguridad de tu empresa, mires a ver que documentos han subido de tu empresa, no vaya a ser que te lleves una sorpresa.

La indexación de documentos privados en Google Drive

Además de que se pueda encontrar la información que la gente publica - intencionada o por error - en Google Drive, las opciones de indexación permiten que si Google ha localizado un enlace a un documento privado, este también quede indexado, tal y como sucedía a Gmail o a Dropbox por culpa de las opciones de indexación mal configuradas.

Figura 4: URLs de documentos privados indexados en Google

Cuando esto sucede, ya sabéis que se puede acceder a la info que aparezca en la URL, como por ejemplo el nombre de un fichero, también a la información que pueda sacarse del enlace, que aparece en el título del documento y poco más.

Figura 5: La indexación filtra keywords en el título y el nombre del archivo

Sin embargo, hay un punto que me ha encantado, y es que cuando Enrique Rando (autor del libro de Hacking con Buscadores) y yo dimos la primera charla de Metadatos y FOCA en la BlackHat de hace muchos años hablábamos de que las fugas de información pueden convertirse en metadatos, y que los buscadores podrían crear esos metadatos a partir de ellas. Tienes el paper completo publicado aquí: "Disclosing Private Information from Metadata, Hidden info and lost data with FOCA".


Pues bien, si el documento es un archivo que Google puede indexar y es capaz de localizar el autor del archivo, este también es leakeado en los resultados en forma de metadato, tal y como puede verse en la imagen.

Figura 7: Autor de documento privado en Google Drive filtrado en el índice de Google

Google Drive tiene el mismo problema con la indexación que tenía Gmail, pero a día de hoy los enlaces no han sido borrados todavía como sí fueron borrados en Gmail, así que se pueden localizar cosas curiosas.

Saludos Malignos!

11 comentarios:

  1. Supongo que esto solamente podrá ocurrir si se ha compartido el doc/folder

    ResponderEliminar
  2. Yo entiendo lo mismo. Lo explicado por Chema se refiere únicamente a documentos ubicados en carpetas compartidas/públicas. La confusión se debe -"de forma intencionada o por error"- de usar varias veces a lo largo del post la frase "documentos privados". Dudo que sea para darle más empaque al post aunque conociendo a Chema no lo necesita para nada. Un documento ubicado en una carpeta compartida/pública no es un documento privado. A lo sumo es un documento personal que se ha hecho público.

    ¿Hay una forma de rastrear o encontrar todas esas carpetas públicas con "hacking de buscadores"? Perfecto.Curioseemos un rato ¿Has encontrado una forma de rastrear los documentos privados que la gente ubica en sus carpetas privadas? Pues tenemos un problema y más vale que sea reportado a Google con la máxima celeridad para que ponga remedio y cosas que la gente considera que son privadas porque las ubica en carpetas privadas acabe en manos ajenas.

    ResponderEliminar
  3. @Anónimo, son documentos compartidos de forma privada a los que Google ha podido llegar a ver el enlace.

    Saludos!

    ResponderEliminar
  4. Me llama la atención uno de los enlaces...

    http://drive.usuhs.edu/ te lleva a https://drive.google.com/a/usuhs.edu que a su vez te lleva a https://cas.usuhs.edu/cas/login

    Es la pantalla de acceso para usuarios de un organismo gubernamental americano (una especie de universidad de medicina para uniformados americanos, tanto civiles como militares), y con un "espantaviejas" que conforme lo lees ya te estás esperando que derriben la puerta los SWAT...

    ¿Qué pinta un enlace de google.com ahí en medio, entre dos enlaces de usuhs.edu? Además, el enlace de google.com no parece que sea el típico enlace que podemos generar cualquiera al subir cosas a nuestra cuenta de Google Drive...

    ResponderEliminar
  5. Deben haber subcontratado a Google para que les lleve estadísticas de acceso a ese portal...
    https://www.google.com/a/usuhs.edu/ServiceLogin?service=wise

    ResponderEliminar
  6. Google, que gran navaja suiza... el caso de Dropox ya fue solucionado hace un tiempo tambien por suerte. Veremos cuanto tarda Google en retirar sus propios links...Gracias Chema.

    ResponderEliminar
  7. Este articulo carece totalmente de analisis serio, y busca solo confundir al lector con una situacion que es la esperada para documentos y carpetas marcadas como Publicas en Google Drive. Hay que mostrar mas cautela ademas al mencionar (y hasta utilizar como sinonimos) conceptos como informacion privada, publica y personal.

    Recomiendo al autor debatir este escenario desde otro punto, educando a los demas en como evitar esta situacion, que tal vez sucede por falta de conocimiento. Y en vez de fomentar a los demas a realizar las busquedas mencionadas, contactar previamente a los dueños de los archivos y carpetas para 1) dar a conocer esta situacion, ya que tal vez estas personas lo desconozcan y 2) solicitar permiso para citar sus casos puntuales en la manera en que se hizo.

    ResponderEliminar
  8. @anonimo, siento que no te hayas enterado de nada. Habla de fugas de información en documentos compartidos de forma privada por un fallo de configuración de Google en Google Drive.

    Lo otro es una intro

    Saludos!

    ResponderEliminar
  9. Más curioso todavía es que las "Ukrainian cyber forces" lo utilizan para guardar documentos que luego filtran.

    ResponderEliminar
  10. @Anónimo, no,no. A ver si lo pillas. Cuando es público, es público (primera parte del artículo). Cuando es privado, es el índice de Google el que filtra la URL, las keywords y el autor en forma de metadato.

    Eso si se configura correctamente o si se borran las entradas del índice, no pasaría.

    Saludos!

    ResponderEliminar
  11. Hay otra forma de sacar el autor de un fichero: A través de la API de Google Drive (https://developers.google.com/drive/v2/reference/files/get) se puede pedir la información sobre un fichero, y entre los datos está el email de su autor.

    ResponderEliminar