Fugas de información en Google y Yahoo! (encontradas con FaasT)

lunes, 3 de febrero de 2014

Hace unas semanas Manuel Fernández, desarrollador y auditor de seguridad en Eleven Paths, encontró unos archivos DS_Store en direcciones URL de Google mientras realizaba pruebas con FaasT. Google premió el descubrimiento, con una mención en su Hall of Fame. También hemos encontrado algunos ficheros con cierta información sensible en servidores de Yahoo!, pero ellos no han respondido a nuestro aviso. ¿Qué encontramos exactamente? y, sobre todo ¿era grave?

Ya sabemos que cuando una empresa o un equipo de auditores realiza un test de intrusión, debe recopilar y atender a todos los detalles que se tienen al alcance, puesto que será la suma de todos esos datos los que pueden marcar la diferencia entre un test con un éxito moderado, o rotundo.

Durante nuestras pruebas con FaasT (para comprobar si es capaz de aportar algo sobre páginas muy expuestas como google.com, Yahoo!, apple.com...) encontramos algunos datos relevantes.

Google.es con ficheros DS_Store colgados en sus servidores y expuestos
Gracias a FaasT, en los servidores del buscador encontramos ficheros .DS_Store expuestos por el servidor web. Un archivo DS_Store puede disponer de rutas internas del equipo del usuario que manipuló la web, fechas y nuevas URLs con las que se puede seguir realizando el test de intrusión.

FaasT identifica este tipo de errores y lo refleja con detalle en su interfaz web. El modelo de pentesting persistente permitirá detectar, entre otras muchas cosas, estos errores de configuración que implican que el nivel de seguridad se rebaje, se retroalimente la auditoría y se abran nuevos caminos de forma que la suma de estos detalles marque el desarrollo de la auditoría, la enriquezca y complete.

Cuando se detectó este detalle en Google, probamos el plugin de DS_Store contra las direcciones URL donde lo detectó y pudo obtener un listado interesante de recursos. En la imagen tendríamos un ejemplo de cómo FaasT visualiza los elementos que puede sacar de un DS_Store encontrado en una URL. En este caso, aplicados a nuestros dominio demofaast.elevenpaths.com y donde se encuentran nuevas rutas a imágenes que se encontraban en el interior del DS_Store.

Ejemplo de cómo se visualizan la información interna de un ficheor DS_Store en FaasT
En el análisis de los DS_Store colgados en Google se obtuvieron los siguientes tipos de elementos:
  • Más de 40 rutas nuevas, que almacenaban datos sobre el GSA (Google Search Appliance) de Google donde se explica detalladamente cómo está montada la infraestructura, cómo se configura... además de otros datos como documentación de su API interna.
  • Más de 30 documentos PDF aparentemente no públicos.
  •  Otros ficheros DS_Store.
  •  Otros recursos HTML.
Una vez notificamos a Google, los eliminó rápidamente y nos puso en el Hall o Fame como reconocimiento a la pequeña labor al mejorar su seguridad.

El caso Yahoo

Este caso es mucho más simple. Encontramos ciertos ficheros de SVN con información muy interesante en ellos, dentro de un dominio relativo a la publicidad en Yahoo!. Esta es una captura de lo que podía verse en ambos dominios.

Información sensible en tw.adspecs.yahoo.com
Más información sensible en tw.adspecs.yahoo.com
Fundamentalmente, fueron dos entradas.


En ellos se encontraban enlaces a ficheros cuando menos curiosos, como  http://tw.adspecs.yahoo.com/tc/adspec_ppt/tw_chi/SynAd.zip

De la información encontrada, se podían obtener los siguientes datos (probablemente obsoletos, pero siempre interesantes de cara a una auditoría):
  • usuario ssh de svn.corp.yahoo.com (martinso)
  • usuario de svn: (martinso)
  • un dominio interno: svn.corp.yahoo.com
  • ruta interna:  /yahoo/adtech/asia/apac/adspecs/tc/adspec_ppt/tw_chi
Muchos días después de escribir a Yahoo, eliminaron el contenido. Nunca obtuvimos respuesta por su parte.

Pablo González
pablo.gonzalez@11paths.com

No hay comentarios:

Publicar un comentario