Tus documentos en la nube, indexados.

En el mundo de Internet y de los buscadores, todos sabemos que la Indexación está a la orden del día. Google indexa millones de sitios Web. Todo lo que esté en la red y no tenga una política de “robots” estricta (y aún así) será “víctima” de la indexación. Esto obviamente es muy positivo para el posicionamiento SEO pero quizás no tanto para otros servicios.

¿Y qué servicios son esos? Servicios Cloud (En la Nube). Dropbox, Box, etc..

box_2 dropbox_2

A raíz de un artículo publicado por el gran Chema Alonso y tras haber curioseado anteriormente sobre el funcionamiento de estos servicios tan sumamente populares, me propuse a mostrároslo en Hacking-etico.com

Estas “conclusiones” que sacaremos serán a través de un simple (o no) buscador, como es Google, con el método “Google Hacking”. Es decir, vamos a concretar las búsquedas para ver lo malote que ha sido el “ojo” indexando.

Nuestro primer objetivo será Dropbox.  El servicio por antonomasia que usa la mayoría de gente. Me baso en que es el más usado porque es el que veo instalado en todas las PYMES y en los particulares, poco científico pero para el caso nos vale.

Pues bien, vamos al buscador y colocamos la búsqueda:

Site:dropbox.com/s Santander datos

El tema de poner “/s” es porque así comparte Dropbox los archivos subidos. La búsqueda ha sido a raíz de dos o tres intentos de búsqueda. Podemos jugar con otras palabras tipo “password”, “mails”, etc..

Esto es lo que nos muestra como resultado. 

santanSi hacemos clic en el enlace…

santan2

Hagamos una búsqueda con la palabra popular “bancos” a ver que nos muestra…

 bancos

La tercera opción que nos aparece parece la más interesante. Cliquemos en ella. 

bancos2

Como podréis ver, información personal al alcance de cualquiera. El problema no es que lo visualice alguien parco en la materia, sino un atacante que use estos datos para multitud de tareas perversas.

Veamos si box.com se comporta igual. Busquemos algo relacionado con correos electrónicos.

Site:box.com/s email

email

Vemos algo interesante: “Email from Department of Justice” Veamos que es.

email2

No se aprecia nada en el documento por algo evidente, ya que hemos pixelado el contenido por ser un email privado con claras alusiones a evidencias y como ya sabéis nuestro objetivo en Hacking-etico.com es enseñar y aprender para saber defendernos, no incitar a cometer actos delictivos.

«Una navaja está al alcance de cualquiera, cada uno decide para que la quiere usar, si para cortar una naranja o para amenazar.«

Bien, si indagamos un poco más encontraremos otro documento con la misma temática y protagonistas. 

email3

Lo que realmente me ha dejado “hundido” ha sido la parte final de la firma.

Work Safe. Home Safe.

Como podéis apreciar, a parte de las medidas de seguridad que adopten las compañías en la nube, hay otros métodos que “traicionan” la seguridad como ya podéis ver. También añadir que hay otras empresas de menos reconocimiento o menos famosas que poseen servicios similares a estos aunque de pago pero que a veces debemos invertir un determinado  dinero (no suele ser nada caro) para que nuestros documentos confidenciales estén a salvo.

Un saludo.

@ManoloGaritmo