viernes, julio 20, 2018

Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal

Haciendo uso de consultas basadas en parámetros de búsqueda sencillos, se puede obtener una gran cantidad de información relevante que, en principio, podría ser difícil de recopilar mediante las búsquedas habituales que se suelen hacer en los principales motores de búsqueda (por ejemplo, Google, Bing o Shodan).  Es el arte del Hacking con Buscadores, donde apuntando a los keywords adecuados, puede obtenerse información privada que no ha sido convenientemente protegida en algunos servicios.

Figura 1: Google Hacking sobre Trello para buscar usuarios y passwords de WordPress o Paypal

Son muchos los artículos en los que haciendo Hacking con Buscadores se puede sacar información muy delicada de las páginas indexadas o cacheadas en los motores de búsqueda, como fue el caso de Evernote o los leaks de sitios como la web de WhtasApp o de Faeebook. Esta técnica que vamos a ver hoy, que como veremos ahora nos ofrecerá una gran cantidad de información, es sólo una de las muchas posibles de las que disponemos para realizar hacking con buscadores, a través de las cuales se podrían realizar búsquedas automáticas que facilitarían una futura intrusión.

Figura 2: Hacking con Buscadores

Es por ello por lo que es conveniente conocerse los pormenores de los motores de búsqueda - tal y como se cuentan en el libro de Hacking con Buscadores - y conocerse cosas como el truco de la barra en Google o la búsqueda en el índice secundario, o el funcionamiento de los modificadores de cada uno de los motores como Bing.  Son muchos los artículos en los que se ha hablado de esto en este blog, y puedes leer algunos artículos publicados con anterioridad:
Hacking con buscadores en los repositorios Open Source 
10 motivos por los que debes pensar en hacer Bing Hacking 
Sacándole más partido a BING Hacking con Contains 
Cómo las invitaciones a grupos de WhatsApp filtradas en Internet afectan a tu Privacidad 
Hundir la flota por computador: Fallos de seguridad en miles de barcos navegando por el mundo.
Google Hacking en Trello

Recientemente nos topamos con un artículo que revelaba la posibilidad de encontrar información sensible de usuarios que hacían uso de la SaaS app Trello - muy similar al ejemplo de Google Hacking con Evernote - en aquellos boards que estaban configurados como públicos.

Esta vulnerabilidad se descubrió haciendo uso de Google Hacking, un método de ataque pasivo también conocido como Google Dorking, que nos permite obtener desde nombres de usuario y contraseñas hasta listas de emails, documentos con información sensible, información fiscal de personas o vulnerabilidades de sitios web susceptible de ser usada para actividades ilegales o no lícitas.

La sintaxis más básica  comúnmente usada en un Google Dork query que nos permite restringir una búsqueda incluye los siguientes parámetros:
inurl: seguido por una url, hacia donde apuntamos la búsqueda.

intext: seguido por un string, para quedarnos sólo con aquellos resultados que contengan esa palabra.
 
site: concatenado por un dominio, al que se restringe la búsqueda. 
filetype: especifica la extensión de ficheros en las que estamos interesados (i.e., .doc, .docx, .pdf., .xls, .xlsx… Se puede extender la búsqueda dentro de un mismo query a varios formatos separando las extensiones con “|”.
Un query de este tipo presentaría una estructura similar a la siguiente:
inurl:[target_url] AND intext:[target_text_1] AND intext:[target_text_2] AND filetype:[filetype_target] …
Quisimos probar si, tras habérsele notificado el descubrimiento de la vulnerabilidad a Trello hace ya dos meses, habían puesto algún remedio el filtrado de información. Para nuestra sorpresa, la información sensible seguía disponible en aquellos tablones que fueron creados como públicos. Comenzamos a hacer pruebas rápidas con queries muy simples. En sólo diez minutos, pudimos ver la ingente cantidad de información que actualmente hay disponible en los tablones públicos de Trello.

No sólo teníamos visibilidad de credenciales de acceso a cuentas de todo tipo, sino que también teníamos visibilidad total de todas las publicaciones, conversaciones, ficheros adjuntados dentro de cada tablón y usuarios que conformaban el tablón. Nos encontramos con múltiples tablones creados por empleados de empresas donde se intercambiaban información sensible relativa a los proyectos en los que estaban involucrados.

Algunas muestras de los criterios de búsqueda usados y evidencias de los resultados obtenidos se muestran a continuación:
• Para buscar por usuarios y contraseñas de correos electrónicos almacenados en los tablones públicos de Trello: 
inurl:https://trello.com AND intext:@gmail.com AND intext:password
Figura 4: Credenciales de acceso a WordPress disponibles en un tablón público de Trello
inurl:https://trello.com AND intext:@yahoo.com AND intext:password
Como podéis observar en la figura anterior, con sólo apuntar a los dominios de correo más usados, y sin necesidad de refinar mucho la búsqueda, somos capaces de obtener credenciales de accesos no sólo a los mails de ese dominio, sino también a otras plataformas como Wordpress.
• Para tener visibilidad de información sensible de acceso a cuentas de PayPal:
inurl:https://trello.com AND intext:paypal AND intext:password
Figura 5: Usuarios y contraseñas de PayPal al descubierto en tablones públicos de Trello
• Si lo que queremos es encontrar credenciales de acceso a cuentas de redes sociales como Twitter, Instagram o Facebook, basta con una mínima modificación del query: 
inurl:https://trello.com AND intext:twitter AND intext:password 
inurl:https://trello.com AND intext:instagram AND intext:password 
inurl:https://trello.com AND intext:facebook AND intext:password
Este post debe servir para concienciar sobre la importancia de educar a los usuarios a gestionar de manera adecuada cómo almacenar (o no almacenar) información sensible. No sólo las credenciales deben ser gestionadas de manera adecuada, ser lo suficientemente complejas y modificarse con cierta frecuencia; además, la información que intercambiemos con otras personas debe transcurrir a través de canales lo más seguros posibles.


Figura 6: Cómo proteger cuentas de WordPress con Latch en 10 minutos

Además de las prácticas comunes para garantizar la seguridad de tus cuentas, recomendamos hacer uso de segundos factores de autenticación como Latch o Latch Cloud TOTP para protegerte de accesos no autorizados tanto en los ejemplos de WordPress o PayPal usands aquí como de tus redes sociales. Podéis encontrar en los siguientes artículos algunos ejemplos de cómo aplicar este segundo factor de autenticación basado en el uso de sistemas TOTP (Time One-Time Password):
Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP
Cómo proteger tu cuenta de Twitter con Latch Cloud TOTP 
Latch Cloud TOTP en Facebook sin SMS ni número de Teléfono 
Cómo proteger WordPress con Latch  
Autor: Enrique Blanco (@eblanco_h) es Investigador en el departamento de Ideas Locas CDO de Telefónica

1 comentario:

  1. ESe comentario arriba es spam, gracias por la información en mi País están obsesionados con scrum y trello. Esto me sirve de ejemplo para educarlos

    ResponderEliminar