¿ Qué sucede cuando no se controla el acceso a

información critica?

El día viernes detectamos un error de control de acceso a datos por parte de un dominio .org.ar (Suelen ser usados por asociaciones sin fines de lucro), el error consiste en dos partes el primero es que permite a los bots (Los bots son de uso frecuente por los motores de búsqueda para cargar en sus bases de datos los sitios web), de los buscadores indexar datos críticos como se muestra en el screenshot del resultado de la búsqueda de Google.-

Como se puede ver, encontramos la sigla D.N.I correspondiente a Documento Nacional de Identidad seguido del número de D.N.I.,  nombre y apellido más algún otro dato, analizando un poco el archivo robots.txt del dominio .org.ar se ve que no está incluido el directorio de donde se acede a estos datos.-

Siguiendo el análisis y al hacer un click sobre el enlace que muestra la búsqueda se ve el segundo error que permite acceder a un listado con datos de más personas de esta organización como se muestra en el siguiente screenshot.-

A estos datos se puede acceder sin necesidad de un login o método de búsqueda.-

En esta situación estamos ante un problema de control de acceso a datos críticos, Datos más que importantes para un cracker para realizar entre otras acciones ingeniería social, suplantación de identidad, etc.

Esta organización ya ha sido informada de este problema.

Conclusión

Siempre hay que tener en cuenta como se comparte información  en la nube nunca está de más utilizar usuario y password para evitar la fuga de información, también se pude utilizar Pautas para diseñar, desarrollar e implementar una programación segura.-

Cristian Amicelli Rivero