Jugando con Google dorks

¿Cuanto cuesta tu privacidad?. Seguro que mucha gente nunca se ha planteado esta pregunta, pero también estamos convencidos de que la mayoría se pondría un precio muy elevado, casi inalcanzable. Pero, si tanto cuesta tu privacidad, ¿te has asegurado de que no la estás regalando?. Vamos a ver a continuación como una simple búsqueda con Google puede dar más información de la que nos esperamos.

DISCLAIMER

Todas las pruebas realizadas a continuación tienen un propósito meramente educativo e informativo, por lo que cualquier uso malintencionado de las mismas no sería nuestra responsabilidad. El usuario seleccionado, con el que se han realizado estas pruebas, fue avisado, eliminando el contenido que estaba expuesto de forma pública.

INDEX OF

Uno de los dorks más utilizados en Google (o el que yo más utilizo) es el de intitle:Index of” cuyo objetivo es encontrar servidores con directorios sin el fichero index.html correspondiente, de forma que el contenido del mismo sea accesible a través de un listado. Juntando este dork con otros parámetros, se muestran resultados de directorios que se han indexado y cuyo propietario (al que a partir de ahora llamaremos nuestro candidato), seguramente no tienen constancia de ello. Este es el caso de intitle:”Index of” “Whatsapp images” con el que aparecen bastantes resultados de carpetas de Whatsapp:

De entre todos los resultados, observamos uno que nos llama mucho la atención, debido al nombre del directorio que contiene a la carpeta Whatsapp. Este resultado se encuentra colgando de un dominio no europeo que se corresponde con una página web que ofrece servicios de hosting:

De alguna forma u otra, nuestro candidato ha copiado un directorio donde no debía, haciéndolo totalmente público y accesible a cualquiera. Dentro de la carpeta de Whatsapp observamos que se listan numerosas fotos, al igual que en el directorio Sent :

Recorriendo toda la jerarquía de directorios, llegamos al directorio padre en el que observamos que se alberga una gran cantidad de carpetas que se corresponden con un backup del contenido del ordenador que utiliza en su día a día, en el que se encuentran fotos, correos electrónicos, documentos escaneados, chats guardados y un sinfín de información:

Entre esta cantidad de directorios, se encuentran documentos de todo tipo, entre los que destacan algunos ficheros Excel. En el ejemplo que se muestra a continuación, este documento mantiene la gestión de todos los gastos anuales que se corresponden con teléfono móvil, Internet, lentes de contacto, pasaporte, fotos del pasaporte, color de pelo, champú del pelo, reparador del pelo, mascarilla para el pelo, crema antiacné, etc…. (vaya, ¡¡ nuestro candidato es una candidata !! ) :

También existe documentación más personal, como este documento para solicitar una ayuda económica, en el que se detalla que el estado civil de nuestra candidata:

O esta tarjeta sanitaria, escaneada por algún motivo burocrático, de la que obtenemos su nombre completo, fecha de nacimiento y número de identificación:

Pero lo que más nos ha llamado la atención son unos documentos Excel que mostramos a continuación. El primero de ellos se corresponde con todos los contactos de nuestra candidata, detallando mucha información de cada uno: el nombre, los apellidos, dirección de correo, dirección física, teléfonos tanto de casa como de móvil, etc…. :

El segundo documento nos muestra todas las direcciones de correo de nuestra candidata, donde se detalla su id de usuario, contraseña, pregunta y respuesta de seguridad:

Pero, ¿por qué sólo tener una Excel de credenciales?. ¿No sería mejor tener otra con todas las credenciales?. Pues dicho y hecho. En este tercer documento se muestran todas las credenciales de todos los servicios que tiene nuestra candidata: Youtube, Facebook, administración de CPanel, Godaddy, Amazon, Windows Live, Skype, Evernote, Yahoo, etc… y sobre todo, usuario, contraseña, pin de tarjeta Mastercard, pregunta y respuesta de seguridad:

Y ahora nos podemos preguntar: pero, ¿cómo es posible que tenga todo esto de forma pública y no se haya dado cuenta?. ¿A qué se dedica nuestra candidata?. ¿Tiene conocimientos en informática?. ¿No se ha molestado en verificar dónde estaba copiando todo ese contenido?… . Pues buscando un poco más en toda esa montaña de información gratuita, nos topamos con su curriculum vitae, en el que observamos que nuestra candidata se dedica a…. :

Ahora, sacad vuestras propias conclusiones. Debido a la inseguridad, hemos pasado de una simple búsqueda en Google a conocer el nombre completo, dirección, gastos, contactos, direcciones de correo, credenciales de acceso a servicios, etc… de una persona desconocida.

Esperamos que os haya entretenido.

“Don’t give up, great things take time.”

2 comentarios sobre “Jugando con Google dorks

  1. Interesante. La cuestión es ¿para qué quieres saber todo eso de un desconocido?. Yo creo que lo interesante es averiguar cosas de alguien conocido y creo, corrígeme por favor si me equivoco, que para eso no es efectivo los google dorks.

    1. Buenas Javier, antes de nada, gracias por leer el blog.

      El objetivo de este artículo no es obtener información de un desconocido, sino mostrar el desconocimiento de la gente en cuanto a privacidad se refiere, sin darse cuenta de la información sensible expuesta a los demás (como ejemplo, el Excel con cuentas bancarias y sus códigos de seguridad) y cómo a través de una búsqueda en Google, se puede obtener toda esa información.

      Muchas gracias y un saludo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *