Seguridad

Descubriendo facturas por la red

Muy buenas a todos, tras varios años realizando pentests a numerosas compañías, he tenido la oportunidad de participar en procesos de hacking ético a bancos, operadoras de telefonía, aseguradoras, empresas del sector utilities, y un largo etcétera de organizaciones muy diferentes entre sí. Sin embargo y por suerte, en contadas ocasiones me he encontrado con ficheros muy críticos subidos a un servidor web (por razones obvias) como puedan ser las facturas de una empresa, que puedan exponer su listado de clientes, los productos/servicios que adquieren o venden, su lista de precios y ofertas, etc. cuyo valor para la competencia puede ser incalculable.

Dando un paseo por Google, me dio por buscar algunos términos clave como «factura euros iva s.l. dirección cif fecha total» unidos al verbo ext, con el fin de filtrar por archivos de tipo PDF, que pudiesen contener facturas reales emitidas o recibidas por un organismo; y fue curioso observar los centenares de compañías que tienen expuestos datos tan críticos sobre su facturación tan a la ligera:

Organizaciones del sector textil, de servicios integrales, de viajes, …. la lista es grande y daría para un libro. Este problema sería resuelto de dos sencillas maneras, el primero y por descontado eliminar la presencia de facturas y archivos críticos de cualquier servidor expuesto a Internet, y en segundo lugar, revisando la seguridad de dichos servidores antes de publicarlos a Internet. Al final, la mayor parte de estas indexaciones en google son producidas porque los servidores web se encuentran mal configurados y presentan un listado de directorios, de manera que los bots de Google lo tienen fácil para recorrer todos los archivos del server y almacenar sus ficheros en su base de datos, presentándolos a las pocas horas cómo resultados de sus búsquedas:

Administradores de sistemas (o a quien corresponda), cuidado con lo que colgáis en los server de vuestras organizaciones, no alimentéis sin querer los instintos de hacer una guerra sucia a vuestra competencia…

Saludos!

Fuente: Flu-project.com

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.