12 marzo 2014

Cuidado con lo que compartes en los foros


Los foros son una herramienta muy poderosa usada por la mayoría de los usuarios de Internet, que básicamente ya se encuentra integrada en la vida digital de todos nosotros para resolver dudas o comentar un tema específico. Sin embargo, hay que tener cuidado con qué información se publica ya que no hay que olvidar que generalmente los foros son públicos, y cuando no lo son, no se tarda más que unos minutos en crearse una cuenta y acceder al contenido.

Visitando un foro de móviles me topé con un hilo en el que la gente estaba posteando imágenes de sus homescreens. Por curiosidad me puse a ver como tenían personalizado sus móviles por si veía un widget o algo que me llamara la atención, y me encuentro con que la gente directamente no valora su privacidad, posteando imágenes con sus tareas y calendarios. Tras unas cuántas imágenes comencé a toparme con imágenes con información jugosa para un ataque de ingeniería social. Por ejemplo:


Un fan del Athletic que tiene un Land Rover y que además tenía que pagar el seguro. Además, conozco los nombres y cumpleaños de tres de sus contactos. Mirando su perfil en el foro, veo que es de Galdakao y que su compañía es Movistar. Sin embargo, no pude conseguir ninguna PII (Personal Identifiable Information), y buscando por sus contactos no pude encontrar ninguna relación. Bueno, no hubo suerte esta vez.

Unas páginas después encontré la siguiente screenshot de un usuario cuyo nick era su nombre+apellido (mal). 


De la imagen obtengo que le gusta el baloncesto, que parece ser miembro de una institución y finalmente, la contraseña del wifi de alguien que conoce por "X". Mirando su perfil veo que es de Logroño, usa Jazztel, tiene un Nexus 5 y una imagen de perfil que fue clave para los siguientes pasos: 


Conociendo su nombre, primer apellido y de donde es, ya podía empezar a realizar algunas búsquedas a ver si podía identificarlo. Entre los primeros resultados se encontraban dos perfiles de LinkedIn, algunas fotos públicas y un perfil de Twitter. Comprobando los perfiles de LinkedIn, veo que uno corresponde a un hombre mayor que no tenía pinta de cumplir con la información adquirida hasta ahora. El segundo, un chicho joven que si que podría ser el mismo usuario del foro. Pero la clave fue al mirar el perfil de Twitter y encontrarme la misma imagen que la anterior.

¿Alguien con el mismo nombre, ciudad y foto? Esto empezaba a cuadrar más. Leyendo su feed, un par de tweets más abajo, una foto de él con su novia. ¿Adivináis quién es ella? X!. Ya me sé la clave del wifi de su novia! Viendo ya más fotos pude comprobar que se trataba de la misma persona del perfil de LinkedIn, perfil que tenía todo público: información sobre sus trabajos y estudios, proyectos, idiomas... y lo peor de todo, una foto tipo carnet. Con toda esta información alguien con malas intenciones podría crear un perfil falso, incluido tarjetas de identificación. De otro de los resultados de la búsqueda confirmé que le gustaba el baloncesto, de hecho juega o jugaba de alero, además de ver su altura, edad y trayectoria como deportista, entre otras cosas.

La nota que se encuentra completamente tachada consistía en el nombre de una institución y un número, número que con casi total seguridad representa a dicho usuario en la institución. En la página de la institución veo un login en el que lo primero que hice fue probar carácteres aleatorios a ver que devolvía:


Parece ser que algo no le gustó. Tras algunas pruebas, veo que solo acepta números. Mirando el código fuente del login form, la longitud máxima para el usuario son 12 carácteres (justo los de la nota) y para la contraseña 8.


Después de varios intentos, no veo indicios de que se impidan intentos de logins consecutivos, ni si quiera un captcha, por lo que se podría llevar a cabo un ataque de fuerza bruta o diccionario. Yo me apostaría que el usuario es el número que tenía en la nota, y la contraseña... ¿quién sabe 8 números? Tal vez una fecha (ddmmyyyy).

Si este chico fuera mi objetivo por cualquier motivo, podría seguir intentando recopilar información, expandiendo el radio de búsqueda a su novia y conocidos, o probando a romper el login de la institución. Sin embargo, no me interesa para nada. El motivo de este post es para concienciar un poco sobre que información compartir en lugares públicos.


Ayoze Fernández

14 comments :

JJBV dijo...

Muy interesante, nunca me había parado a pensar en el daño que puede causar una simple captura de pantalla.

Perroflauta dijo...

Muy buena entrada. Me sé más de uno que debería leerla.

paseante dijo...

Tapad mejor las imágenes, que he encontrado la primera: http://www.htcmania.com/showthread.php?t=716384

John dijo...

Pero entonces, (y estoy completamente de acuerdo sobre el tema de los screenshots en los foros y todo lo demás) me surge una duda. ¿Debemos poner una foto falsa en LinkedIn? Se trata de una red social para buscar trabajo

Nombre Inventado por seguridad dijo...

Hacer daño a alguien o suplantar la identidad es muy fácil; por el hecho de ir con tu nombre de verdad por la red y mostrar tu curriculum en linkedin no estás siendo más presa de delitos que otros ¿Qué ayuda mucho al que te quiere lastimar? ¨Sí, pero no es requisito necesario.
Mal dejar passwords o datos o claves, pero si todos nos dedicamos a ir por la red con nombres inventados..sinceramente, es muy triste.

SecurityEffect dijo...

No has entendido lo de la foto tipo carnet. Claro que en LinkedIn deberías usar una foto tuya, pero no es lo mismo una foto en la que se te vea cuerpo entero, en otro ángulo, etc, y una foto con fondo blanco, mirando de frente y de hombros para arriba, no? Vamos, lo que se conoce como foto tipo carnet. Hubo un artículo que lei hace unos 3 o 4 años en el que precisamente demostraban los peligros de este tipo de fotos. Pensaba que lo había leído aquí, pero lo busqué para enlazarlo y no lo encontré.

Usuarios Nexus dijo...

A nosotros nos han llegado a llamar paranóicos por comentar justo lo que escribes en este apunte. La gente no valora su privacidad y cree que ni se la puede dar un uso comercial, y mucho menos un uso delictivo. En fin, creo que el es ignorante de verdad, hará oídos sordos a este tema.

Saludos Nexus

kados dijo...

site:twitter.com No pain. no gain. Logroño


Parece majo el chaval :D

SecurityEffect dijo...

Las screens son de Noviembre y todavía no ha cambiado el estado u_U.


Borra el comentario si puedes anda... fallo mio por no haber comprobado que todavía seguía utilizando el mismo estado.

John dijo...

Ok, entonces es que no había leído lo de las fotos carné. No sabía que podían ser más peligrosas que los otros tipos que comentas, gracias por la aclaración, un saludo y felicidades por un muy buen post! ;)

kados dijo...

No me dejaba editar asi que lo he borrado.

Jpc dijo...

Madre mía parece mentira lo que se puede investigar por ahí... Muchas gracias, estaremos más concienciados ahora

SecurityEffect dijo...

Sigue ahí como posteado por invitado ahora >< Ya contacté con Lorenzo a ver si puede borrarlo.

PwnPeople dijo...

Te aconsejaría corregir las faltas de ortografía, da mala imagen de tu blog. Es un consejo. En español se ponen interrogaciones al principio de las frases.