Periscope es una aplicación disponible para dispositivos iOS y Android que nació de la motivación que tuvo Kayvon Beykpour en verano de 2013 cuando se encontró que ninguna televisión internacional estaba retransmitiendo las protestas que se estaban realizando en la plaza Taksim de Estambul. Es por ello que pensó en crear una herramienta de uso muy sencillo para que cualquier persona, con un dispositivo móvil, pudiera retransmitir por streaming y con la infraestructura proporcionada por las redes sociales, cualquier acontecimiento que le viniera en gana. Es decir, dotar a los usuarios de dispositivos móviles de una app para transmitir la vida en tiempo real.
Cuando se produce la verdadera eclosión de Periscope es en enero de este mismo año cuando Twitter, propietaria de la app, decide integrar los vídeos de sus usuarios en su timeline. Así, cualquier persona con acceso al timeline de un usuario de Twitter puede ver, en tiempo real, qué es lo que este usuario está retransmitiendo.
Periscope y las fugas de información
Echando esta mañana un vistazo el funcionamiento de la app, decidí visitar su página web y comprobar si existía el fichero robots.txt:
Consultando la URL correspondiente su declaración de privacidad, puede leerse que la información relacionada con la emisión (comentarios, corazones, etcétera…) es pública por un tiempo máximo de 24 horas o hasta que se elimine.
Cabe pensar que, si la publicación de una emisión no es eliminada por un usuario, será eliminada transcurridas 24 horas desde su emisión y publicación.
Visualización de las emisiones de los usuarios
Del contenido del fichero robots.txt, me llamó la atención la URL www.periscope.tv/w. En la siguiente figura puede verse que el servidor web devuelve el código 400, solicitud incorrecta, si le preguntamos por esta URL.
Sin embargo, haciendo un poco de Hacking con Buscadores y consultando a Google sobre la URL periscope.tv/w, inicialmente sólo muestra un resultado.
Repitiendo la búsqueda para los resultados omitidos, tenemos que, de un resultado, pasamos a más de 90.000 resultados.
Accediendo a algunos de los resultados que devuelve Google, es posible acceder a los vídeos y retransmisiones almacenadas por ciertos usuarios si aún no han pasado las 24 horas hasta que el vídeo sea eliminado o ellos no lo han borrado.
En las imágenes anteriores puede observarse retransmisiones con un buen número de espectadores almacenadas que aún no han caducado o que aún no se han borrado que podrían llegar a comprometer a ciertos usuarios. Aunque estos vídeos tengan un tiempo de vida de 24 horas, si alguien graba la pantalla donde está visualizando el vídeo, aunque este caduque o se borre posteriormente, tendrá el vídeo para siempre y podrá hacer con él lo que considere oportuno.
Es más, si en él aparecen imágenes comprometedoras, como también es posible saber la cuenta de Twitter de ese usuario, si esta es pública, pueden conocerse quiénes son los contactos de este usuario para poder intentar una posible extorsión con el material interceptado.
Y es más, aunque un usuario de Periscope tenga su perfil de Twitter protegido, sus retransmisiones han sido indexadas por un buscador y son accesibles, podrían conocerse quiénes son algunos de sus contactos.
Conclusiones Finales
Aunque un determinado servicio en Internet ofrezca la posibilidad de que tus contenidos van a ser eliminados o que únicamente van a ser compartidos con los contactos que tú permitas, cabe la posibilidad de que la plataforma utilizada por ese servicio presente fugas de información y esos contenidos puedan estar al acceso de cualquiera en Internet y puedan llegar a comprometerte.
En este caso, Periscope hace una mala gestión de las opciones de indexación en Google que tan malas pasadas le han jugado en el pasado a Facebook, Gmail, WhatsApp o Dropbox, y que tal vez el equipo de seguridad de esta plataforma pueda solucionar con solo aplicar ciertas configuraciones de seguridad en la indexación de contenidos.
Autor: Amador Aparicio (@amadapa)
Figura 1: Tus publicaciones de Periscope están públicas 24 horas |
Cuando se produce la verdadera eclosión de Periscope es en enero de este mismo año cuando Twitter, propietaria de la app, decide integrar los vídeos de sus usuarios en su timeline. Así, cualquier persona con acceso al timeline de un usuario de Twitter puede ver, en tiempo real, qué es lo que este usuario está retransmitiendo.
Periscope y las fugas de información
Echando esta mañana un vistazo el funcionamiento de la app, decidí visitar su página web y comprobar si existía el fichero robots.txt:
Figura 2: Contenido del fichero robots.txt en la web de Periscope |
Consultando la URL correspondiente su declaración de privacidad, puede leerse que la información relacionada con la emisión (comentarios, corazones, etcétera…) es pública por un tiempo máximo de 24 horas o hasta que se elimine.
Figura 3: Declaración de privacidad de Periscope |
Cabe pensar que, si la publicación de una emisión no es eliminada por un usuario, será eliminada transcurridas 24 horas desde su emisión y publicación.
Visualización de las emisiones de los usuarios
Del contenido del fichero robots.txt, me llamó la atención la URL www.periscope.tv/w. En la siguiente figura puede verse que el servidor web devuelve el código 400, solicitud incorrecta, si le preguntamos por esta URL.
Figura 4: Error 400 en la web de Periscope |
Sin embargo, haciendo un poco de Hacking con Buscadores y consultando a Google sobre la URL periscope.tv/w, inicialmente sólo muestra un resultado.
Figura 5: Resueltos devueltos inicialmente por Google |
Repitiendo la búsqueda para los resultados omitidos, tenemos que, de un resultado, pasamos a más de 90.000 resultados.
Figura 6: Resultados obtenidos viendo los enlaces omitidos |
Accediendo a algunos de los resultados que devuelve Google, es posible acceder a los vídeos y retransmisiones almacenadas por ciertos usuarios si aún no han pasado las 24 horas hasta que el vídeo sea eliminado o ellos no lo han borrado.
Figura 7: Una retransmisión de periscope almacenada que aún no ha caducado |
En las imágenes anteriores puede observarse retransmisiones con un buen número de espectadores almacenadas que aún no han caducado o que aún no se han borrado que podrían llegar a comprometer a ciertos usuarios. Aunque estos vídeos tengan un tiempo de vida de 24 horas, si alguien graba la pantalla donde está visualizando el vídeo, aunque este caduque o se borre posteriormente, tendrá el vídeo para siempre y podrá hacer con él lo que considere oportuno.
Figura 8: Imagen de una retransmisión almacenada con imágenes privadas |
Es más, si en él aparecen imágenes comprometedoras, como también es posible saber la cuenta de Twitter de ese usuario, si esta es pública, pueden conocerse quiénes son los contactos de este usuario para poder intentar una posible extorsión con el material interceptado.
Figura 9: Aunque el perfil Twitter esté protegido, la grabación Periscope no lo está |
Y es más, aunque un usuario de Periscope tenga su perfil de Twitter protegido, sus retransmisiones han sido indexadas por un buscador y son accesibles, podrían conocerse quiénes son algunos de sus contactos.
Conclusiones Finales
Aunque un determinado servicio en Internet ofrezca la posibilidad de que tus contenidos van a ser eliminados o que únicamente van a ser compartidos con los contactos que tú permitas, cabe la posibilidad de que la plataforma utilizada por ese servicio presente fugas de información y esos contenidos puedan estar al acceso de cualquiera en Internet y puedan llegar a comprometerte.
En este caso, Periscope hace una mala gestión de las opciones de indexación en Google que tan malas pasadas le han jugado en el pasado a Facebook, Gmail, WhatsApp o Dropbox, y que tal vez el equipo de seguridad de esta plataforma pueda solucionar con solo aplicar ciertas configuraciones de seguridad en la indexación de contenidos.
Autor: Amador Aparicio (@amadapa)
Por lo que puedo deducir, el archivo robots.txt fue modificado mas tarde o simplemente no existia antes de que google indexara las retransmisiones de ese directorio. Se podria comprobar en archive.org...
ResponderEliminar