KPMG Blogs

open

Fugas de información: Millones de datos críticos indexados en buscadores

El arte de la búsqueda de información.

Buenas a todos, en el post de hoy de KPMG Ciberseguridad quería hablaros de fugas de información, y en concreto sobre los millones de datos que acaban siendo indexados por Google por malas configuraciones de los servicios empresariales (habitualmente desplegados bajo instalaciones por defecto sin ningún tipo de bastionado).

En los últimos meses he dedicado varios artículos en el blog de Flu Project para hablar sobre fugas de información, y cada vez que amplío mis investigaciones al respecto y nuestros lectores nos facilitan nuevos datos, identificamos nuevas tipologías de activos empresariales con información crítica fugada en la red. Por poner un sencillo ejemplo que ilustrará claramente mis aseveraciones, veamos lo trivial que puede ser para cualquier usuario de Internet localizar bases de datos sin credenciales expuestas en la red, gracias a las capacidades avanzadas de Google (dorks). Tan solo debemos indicar la siguiente expresión de búsqueda en Google:

  • inurl:phpmyadmin “information_schema” filetype:php

A continuación podréis ver más de 14.000 paneles de control Phpmyadmin con los que podréis gestionar bases de datos expuestas en la red. De entre las cuales, aunque un gran grupo posiblemente hayan sido publicadas con conocimiento de sus administradores, es muy posible que otra parte hayan sido reveladas por un fallo de configuración:

Pero Google, aunque es una de las principales puertas a la red, no es la única, como ya vimos en anteriores artículos de la cadena “El arte de la búsqueda de información”. Otro buscador importante en las tareas de búsqueda de datos fugados es shodan.io, con el cual podremos localizar por ejemplo más de 1.000.000 de paneles de control “cpanel” de hostings de organismos y particulares:

Y cuyos resultados podremos refinar aún más para filtrar por aquellos cpanel que se encuentran accesibles sin necesidad de credenciales, como por ejemplo mediante una simple búsqueda en Google, con la que se certifica que la friolera del 20% de todos ellos carecen de medidas de seguridad para proteger el acceso remoto:

  • inurl:login inurl:user inurl:pass -intext:pass -intext:user

Lo que os presentamos es un simple ejemplo de los millones de datos expuestos, y de los cientos de miles de activos que se encuentran accesibles a golpe de ratón. Esto deja claro la importancia de auditar los activos antes de publicarlos en Internet, la necesidad de seguir unas políticas de seguridad corporativas y por supuesto, la vitalidad de analizar de forma regular la huella digital expuesta en la red de redes, para ver “cómo nos ve” el resto del mundo.

Saludos!

Deja un comentario


De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos de que sus datos personales facilitados en el presente formulario serán incluidos en un fichero titularidad de KPMG, S.A. denominado “BLOG” con la finalidad de gestionar su participación en el mismo, siendo este tratamiento de datos de carácter obligatorio. En cualquier momento podrá ejercitar sus derechos de acceso, cancelación, rectificación y oposición, contactando con KPMG S.A. a través del correo electrónico ES-FMderechosarco@kpmg.es o por escrito dirigido al Departamento de Asesoría Jurídica de dicha empresa en la dirección: Paseo de la Castellana, 95, 28046 Madrid

* Para enviar el comentario, es preciso aceptar la política de Protección de Datos de Carácter Personal.