Google Hacking Sobre Trello Para Obtener Credenciales de PayPal y Tarjetas de Crédito

0
218

Chema Alonso, en su blog El Lado del Mal nos muestra que esta “vulnerabiidad” al servicio Trello no ha sido reparado, lo cual indica que podemos seguir aprovechando el “bug” para obtener cuentas de casi cualquier servicio (incluyendo paypal) así como tarjetas de crédito y contenido aún más interesante.

Haciendo uso de consultas basadas en parámetros de búsqueda sencillos, se puede obtener una gran cantidad de información relevante que, en principio, podría ser difícil de recopilar mediante las búsquedas habituales que se suelen hacer en los principales motores de búsqueda (por ejemplo, Google, Bing o Shodan). Es el arte del “Hacking con Buscadores”, donde apuntando a los “keywords” adecuados, puede obtenerse información privada que no ha sido convenientemente protegida en algunos servicios.

 

¿Cómo Puedes tu Aprovechar estas vulnerabilidades?

Antes de comenzar con esta especie de “Tutorial” te mostraré una breve introducción del mismo.

 

Son muchos los artículos en los que haciendo Hacking con Buscadores se puede sacar información muy delicada de las páginas indexadas o cacheadas en los motores de búsqueda, como fue el caso de Evernote o los leaks de sitios como la web de WhtasApp o de Faeebook. Esta técnica que vamos a ver hoy, que como veremos ahora nos ofrecerá una gran cantidad de información, es sólo una de las muchas posibles de las que disponemos para realizar hacking con buscadores, a través de las cuales se podrían realizar búsquedas automáticas que facilitarían una futura intrusión.

 

¿Qué es Trello?

Trello es una aplicación para manejo de projectos, en la cual puedes tener multiples organizaciones, tableros, listas y tarjetas.
En cada una de las organizaciones que crees podrás tener un equipo de personas en la que todos pueden colaborar para lograr los objetivos siguiendo un proceso bastante visual.

Google Hacking Sobre Trello

 

Dicho esto, hay que recalcar que los usuarios usan Trello como una especie de “diario” o en todo caso, un organizador de trabajo.
Pues todo bien, salvo que esta web tiene serios fallos de seguridad a la hora de indexar los archivos guardados de los usuarios, tan simple como utilizar una serie de keywords para acceder a la info de algún usuario.


La sintaxis más básica comúnmente usada en un Google Dork query que nos permite restringir una búsqueda incluye los siguientes parámetros:

• inurl: seguido por una url, hacia donde apuntamos la búsqueda.

  • intext: seguido por un string, para quedarnos sólo con aquellos resultados que contengan esa palabra.
  • site: concatenado por un dominio, al que se restringe la búsqueda.
  • filetype: especifica la extensión de ficheros en las que estamos interesados (i.e., .doc, .docx, .pdf., .xls, .xlsx… Se puede extender la búsqueda dentro de un mismo query a varios formatos separando las extensiones con “|”.

Un query de este tipo presentaría una estructura similar a la siguiente:


    inurl:[target_url] AND intext:[target_text_1] AND intext:[target_text_2] AND filetype:[filetype_target] 
    

Algunas muestras de los criterios de búsqueda usados y evidencias de los resultados obtenidos se muestran a continuación:

 

  • • Para buscar por usuarios y contraseñas de correos electrónicos almacenados en los tablones públicos de Trello:

        inurl:https://trello.com AND intext:@gmail.com AND intext:password
        

Resultados de cuentas usando Google Dorks

Como puedes observar en la imagen anteriror, con solo utilizar el parametro de los emails más utilizados por todo el mundo y sin necesidad de utilizar demasiados parametros para “profundizar nuestra búsqueda”, obtenemos las credenciales de los correos electrónicos de esas personas para acceder tanto a su email como a cualquier otro servicio/plataforma, tomando en cuenta que un gran porcentaje de las personas del mundo utilizan la misma contraseña para dos o más servicios.


¿Venías por las cuentas PayPal y creíste que te habíamos estafado?
¡ESPERA!, te contamos la verdad

    • Si quieres ir más lejos aún con esta vulnerabilidad y quieres obtener cuentas de PayPal y acceder a ellas te dejamos el dork:

    inurl:https://trello.com AND intext:paypal AND intext:password
    

Obten cuentas PayPal y accede a ellas

Luego de hacer esto, si quieres divertirte un poco:

Si luego de indagar en todo lo “serio” del caso quieres “jugar” un poco con los usuarios de esta plataforma puedes buscar credenciales para acceder a redes sociales como Twitter, Instagram, Facebook y otras, basta con una pequeñísima modificación en nuestro dork:

  • inurl:https://trello.com AND intext:twitter AND intext:password
  • inurl:https://trello.com AND intext:instagram AND intext:password
  • inurl:https://trello.com AND intext:facebook AND intext:password

        

Ahora nosotros, así como en El Lado del Mal nos ponemos serios y aclaramos que este está hecho para hacer conciencia sobre la importancia de saber donde estás alojando tu información y qué tan recomendable es almacenar o no almacenar este tipo de información sensible. También decir que las credenciales que usas frecuentemente deben ser lo suficientemente complicadas para los piratas informáticos y por si las dudas, cambiarlas o actualizarlas de vez en cuando, no obstante, debes tener mucha precaución de los canales que utilizas para almacenar y/o transferir este tipo de datos o información, intenta siempre utilizar los canales más seguros que existen en la web.

A continuación se te muestra como proteger tus cuentas WordPress (funciona con cualquier otro servicio) con Latch

Dejar respuesta

Please enter your comment!
Please enter your name here