Paranoia Hack Jueves, 23 enero 2014

Encontrando archivos DropBox por San Google

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

DropBox es una empresa muy famosa valorizada en 10.000 millones de dólares y con 200 millones de usuarios. Tan conocida que quizá tú tengas una cuenta para subir tus archivos personales. Un lugar en la nube para almacenar documentos privados, laborables o de entretenimiento. ¿Qué harias si te alertan que extraños pueden observar y descargar  tus documentos mediante Google? Aquí lo demuestro.

dropbox_hack_banner

QUE EMPIECE LA PARANOIA: Debo precisar que mi intención no es brindar un manual, solo demostrar que existen peligros, y por muy mínimos que sean, resultan un riesgo para un usuario. San Google y su poder de búsqueda está mostrando archivos de DropBox que no debería publicar. Primero haremos un análisis. Al observar el archivo robots.txt en el servidor de Dropox, vemos que la empresa se esfuerza para que Google no indexe (incluya) los archivos almacenados en las siguientes carpetas:

dropbox_Robots_
DEMOSTRACIÓN: Nuestro amigo Google transgrede el pedido de DropBox y las reglas del juego para filtrar muchos archivos. Y aunque no ingresé a ninguno, cabe señalar que solo hace falta una pequeña línea de código para hallar resultados, los mismos que pueden encontrarse utilizando con creatividad palabras claves, si existiera un objetivo, se buscaría palabras relacionadas a la víctima, sin embargo, mostraré unos resultados genéricos pero interesantes/graciosos:

 

dropbox9Con la palabra marihuana aparece un resultado muy curioso relacionado al Arzobispado. ¿Será de la Iglesia de Uruguay?

 dropbox1Las galerías XXX son los archivos más preciados por los usuarios de DropBox.

 

dropbox2La tentación de guardar  el Top10 porno en la nube, para no olvidar las direcciones más importantes.

dropbox3También se puede encontrar archivos por formato, como reportaje en formato AVI.

 

dropbox4Como podrían faltar los MP3, las hits favoritos de los usuarios para el mundo.

 

dropbox5Este usuario debe tener un gusto extraño, no quiero ni imaginar por qué tiene un video llamado Teen chicken lover (Amante del pollo adolescente).

 

dropbox6Vestidas y desnudas, un archivo flash que un usuario guarda con cariño.

dropbox7El tema se pone riesgoso cuando se empiezan a encontrar proyectos, sí, posiblemente esquema que tanto trabajo le demandó, podría ser robado o copiado por un extraño.

 

dropbox8El peligro aumenta, documentos relacionados a sueldos, adelantos y contrataciones pueden ser una amenaza para una empresa.

 

dropbox10Y aunque no sea para buscarle chamba, los curriculos de los usuarios también se filtran, y con ello, datos netamente personales.

 

dropbox11A muchos les gusta Marvel, este usuario por ejemplo, al parecer tiene una coleccion deenlaces hacia Avangers.

 

RECOMENDACIONES:

– Tratar de configurar los archivos en DropBox como privados. Es posible que los documentos que filtra Google sean los ficheras mal configurados por los usuarios, aunque con San Google nada se sabe con exactitud.

– Este método depende de la imaginación del atacante y la variación de código que use. Sin embargo, esta técnica tiene su lado positivo al encontrar un archivo con material ilegal: pornografía infantil, secuestros, tráfico de drogas o claves personales, ya que uno puede reportar el incidente a las autoridades, adjuntando el nombre de usuario y el tipo de contenido que almacena. Personalmente hice mi acción del día al reportar unos datos a una empresa muy conocida, en donde el responsable me agradece la notificación, mensaje que por ética no muestro.

– Esta vulnerabilidad ha sido expuesta por varios especialista, entre ellos ESET, quien publicó una solución para evitar que los enlaces se muestren.  Para eliminar el link, hay que acceder desde Dropbox al archivo compartido, y luego ingresar en el símbolo de eslabones (cadena) tal como se muestra a continuación:

1FileSelect_ESET

 

 

Una vez que hecho esto, aparecerá una ventana donde se puede ver el contenido del archivo. En la parte superior figuran los botones “Compartir”, “Descargar” y un botón con tres puntos. En este último botón es donde se debe hacer clic.

2_QuitarVinculoConfirmacion_ESET

 

Tal como se muestra en la imagen, al hacer clic en el botón con tres puntos, se despliega un menú donde aparece la opción “Quitar vínculo”, que es opción se debe seleccionar para quitar el vínculo del archivo compartido. Una vez seleccionada, tal como se muestra en la siguiente imagen, nos pregunta si estamos seguros de quitar este link, ya que una vez eliminado, el archivo dejará de ser visible:

3_QuitarVinculo_ESET

 

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.
Secured By miniOrange