Hola a tod@s
La búsqueda fue muy fructífera, más de 12.000 había encontrado.
Hacía ya bastante tiempo que no
me distraía con Shodan, este buscador que tanto nos facilita la vida,
permitiendo encontrar routers, servidores, etc.
Una tarde de estas calurosas, recordé
cuando estudiaba el FP de Informática en la que usábamos Wamp Server, ya que
con esta tecnología instalábamos PHP, MySQL y Apache para realizar pruebas con
las webs y base de datos. Entonces se me ocurrió una idea maligna y ¿por qué no
buscar?, ya que tenia mono de Shodan y podría encontrarme con algunas
sorpresas.
Sin perder ni un segundo más me
puse en acción. Para realizar la acción de búsqueda utilice el verbo title.
Imagen 1: Búsqueda con Shodan
La búsqueda fue muy fructífera, más de 12.000 había encontrado.
Imagen 2: Resultados Búsqueda
Estuve investigando cada sitio
encontrado en los que se podía ver proyectos y herramientas habilitadas como PHPMyAdmin, WebGrind, SQLBuddy o phpinfo. Sin
embargo yo quería mas “chicha” así que proseguí mu búsqueda, hasta que encontré
un servidor con muy buena pinta.
Imagen 3: Servidor Premiado
A continuación me sumerjo en uno
de los proyectos de este servidor, cuál fue mi sorpresa, no daba crédito,
estaban listando un directorio llamado tablas.
Imagen 4: Directorio Proyecto con Tablas
Inmediatamente entre en el
directorio y claramente con ese nombre no podía tratarse de otra cosa que no
fueran bases de datos.
Imagen 5: Base de Datos
Lo más heavy fue encontrarme con
la base de datos usuarios_admin, en ese momento tenía el poder.
Me dispongo a ver lo que contiene usuarios_admin y son todos
los administradores de la empresa, se trataba de una empresa, contenía datos
como usuario, contraseña, dirección, email, teléfono, ciudad, país etc.…
Imagen 6: Base de Datos Administradores
Con todo esos datos podía haber accedido al panel de
administración de la página web y haberle dedicado un defacement o quizás accedido
a la intranet de la empresa con lo que ello conlleva, tantos datos confidenciales
de la empresa y clientes expuestos, tendremos que darle un toque de atención a estos
señores y recordarle que es la LOPD.
Si en vez de haber dado con un hacker hubieran dado con un
ciber-delincuente estarían ahora lamentándose, por suerte no fue así.
No pasan más cosas porque Dios no quiere.
No seáis malos.