miércoles, febrero 14, 2018

Seguir con Google la pista a Documentos PDF por los datos de su Certificado Digital

La firma digital que se pone en un documento lleva implícitos los datos del firmante que iban en el certificado digital que se utilizó. Estos datos pueden ser, por supuesto, los datos de un DNIe, que se haya utilizado para dicho menester, o los que aparecen en un certificado emitido por la FNMT para la interacción con la administración pública.

Figura 1: Seguir con Google la pista a Documentos PDF por los datos de su Certificado Digital

No hay mucho misterio más que los datos de la firma digital que se estampa en un documento PDF se pueden leer en claro, y aunque muchos de los visores de documentos PDF no avisan de que el documento lleva una firma digital, Google sí indexa esa información - tal y como me indicó mi amigo rootkit, que tanto disfruta del Hacking con Buscadores -, por lo que se puede utilizar como parámetro de búsqueda.

Figura 2: Documentos firmados del Department Of Defence de USA

Esto permite, por ejemplo, que una organización pueda localizar donde han sido publicados - e indexados - documentos que hayan sido firmados digitalmente con sus certificados.

Figura 3: Documentos firmados por un empleado del DoD

Pero también puede ser un leak de información no deseado, sobre todo por la cantidad de datos personales que acompañan a cualquier certificado digital emitido a una persona particular, como por los que sabemos que hay en certificados digitales tan populares como el del DNIe o la FNMT.

Figura 4: Documentos con certificados digitales de la NASA

Así que, con unas sencillas búsquedas en Google puedes saber si algún documento PDF que hayas firmado digitalmente ha sido publicado en la red y está emitiendo datos personales tuyos que no deseas. 

Figura 5: Documentos públicos en la red con firmas digitales de certificados FNMT

Por supuesto, la búsqueda por campos de los certificados digitales afectará a todo documento que almacene en formato de texto plano - o incluso en metadatos - los datos del certificado digital, así que no solo tienen que ser certificados digitales en documentos PDF.

Saludos Malignos!

No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares