EDICIóN GENERAL
271 meneos
6182 clics
Cómo usé una búsqueda sencilla en Google para extraer contraseñas de docenas de tarjetas públicas de Trello [ENG]

Cómo usé una búsqueda sencilla en Google para extraer contraseñas de docenas de tarjetas públicas de Trello [ENG]

Hace unos días, el 25 de abril, mientras investigaba, descubrí que muchas personas y compañías están poniendo su información confidencial en sus tarjetas públicas de Trello. Información como errores no arreglados y vulnerabilidades de seguridad, credenciales de sus cuentas de redes sociales, cuentas de correo electrónico, tableros de administración y servidores, lo que usted quiera, están disponibles en sus tarjetas de Trello públicas que están siendo indexadas por todos los motores de búsqueda y cualquiera puede encontrarlos fácilmente.

| etiquetas: trello , tarjetas , búsqueda sencilla , extraer , contraseñas
126 145 2 K 308 SysDevs
126 145 2 K 308 SysDevs
A-LU-CI-NAN-TE.
Es como el post-it con la contraseña pegado al monitor pero visible universalmente. :-D
#2 os sorprenderíais lo que se puede sacar con OSINT
{0x1f602} {0x1f602} {0x1f602} Que grande
Te tienes que reir..
Que se le haya ocurrido la búsqueda es, en sí, algo divertido de leer y curioso. Pero no podemos olvidar que los que tengan un tablero de trello público son personas o grupos de trabajo a los que les va dando igual que todo el mundo sepa lo que hacen.

Alguno pensará que va a encontrar las contraseñas de acceso de Bill Gates. Yo no tengo público, ya que privado es por defecto, ni el tablero donde ponemos las tareas de la casa que quedan por hacer.

Pero sí, en general, gran meneo.
#5 Tú crees que a alguien le da igual compartir públicamente las contraseñas de su linkedin corporativo, por ejemplo?
#16 No son casos comparables.
#53 Cómo comparable? Es literalmente de lo que habla el artículo:

People also use Public Trello boards as a fancy public password manager for their organization’s credentials.

Some examples included the server, CMS, CRM, business emails, social media accounts, website analytics, Stripe, AdWords accounts, and much more.
#54 Sí, pero dentro de una cuenta trello pública. No gratuita que lo son todas, sino directamente públicas.

Dudo mucho que ninguna de esas claves sean relevantes. Serán cuentas de pruebas, tests...
Esto me recuerda a cuando buscas en el eMule clientes.mdb o cuentas.xls nominas.pdf y cosas así.
#6 dni encontré algunos xD
#7 bueee, eso es mas facil todavia, con buscar cualquier documento publico tipo listas de empleo, becas o aceptacion a cursos. Ya aparecen los datos dni incluido
#41 eran fotos o pdf y veias el careto del payo xD
Y con esta búsqueda, tarjetas repletas de passwords. URL de redes sociales y servidores, con su usuario y contraseña. Roots de bases de datos, servicios detallados... todo, almacenado en tarjetas públicas. ¿Esperaban acaso que la "seguridad por seguridad" les ayudara? ¿Cómo se puede ser tan torpe?
#9 Si asi duermes mejor..
#22 No, si debes ser un puto crack. Por eso te mantienen ahi abajo.
#26 Ha quedado claro que eres un lince.

El management está abajo, y el CEO está abajo del todo. Se gana más aqui abajo para compensar eso :->

No puedo ser feliz en una cárnica, porque nunca he pisado una :->
#31 No sabes leer? Que nunca he estado en una cárnica!
Si en tu empresa los managers no estan arriba ni ganan más, por qué te escuece tanto?
#37 Por suerte para mi, estoy en un sector mucho mejor pagado que "la informatica"
#40 En algun monento he dicho que esté hablando de un sector en particular?.

Por lo que dices te escuece, y mucho.
#46 #44 lo siento no he podido leer todo el hilo, al final quien de los dos la tiene más larga?
#49 El la tiene mas larga. Pero en su empresa tenerla mas larga no significa que le mida mas. Tienes que aguantar que los pelmazos te lo digan continuamente, pero no importa porque lo que interesa es ser el mas listo del barrio. Es complicado :roll:
#8 Quería poner "seguridad por oscuridad", lo he escrito muy de primera mañana {0x1f613}
La gente es idiota. Otra explicación no hay.
#11 La gente no es consciente de lo que está haciendo y lo hace sin ningún cuidado.
La noticia es antigua, creo recordar que ya estaba incluso corregido.
#12 No tienes más que hacer la búsqueda para darte cuenta de que no está corregido. Y si me apuras, diría que no se puede corregir, ya que no hay ningún bug. Si la gente publica algo, pues es público.
#13 De hecho, la búsqueda en castellano arroja resultados del mismo tipo: inurl: "trello.com AND intext:contraseña".
#17 jajaja ¿Habeis hecho la busqueda en Español? Hasta contraseñas del paypal! :hug: :hug: :hug:
#13 #17 Pues anda que si pones:
inurl:trello.com AND intext:PayPal AND intext:password
:-D :-D :-D
#33 La ostia....
#33 brutal {0x1f605}
#13 con añadir noindex al meta robots deja de indexarse en Google
#20 Pero por qué no va a indexarse? Aquí el fallo es claramente del usuario, yo puedo tener un tablero público y querer aparecer en búsquedas, porque para eso es público. El problema es que la gente pone como públicas cosas que son privadas.
#23 porque googlebot no manda al indexador aquellas páginas con la meta etiqueta noindex.




support.google.com/webmasters/answer/93710?hl=es

Edit: Vale, que no preguntabas por la explicación de como funciona el rastreo xD
Y encima es muy común usar la misma contraseña para varios servicios diferentes...
Bueno, pero esto se evita simplemente teniendo el tablero como privado.
#15 En realidad se evita teniendo un post it de los de antes, por lo menos asi el hacker tiene que entrar a tu casa.

Es como estos que han perdido mucha pasta en bitcoins por tener las pass y direcciones en keep o evernote, te clonan la sim y estas jodido.
#18 ¿Qué tiene que ver la SIM (físico) con Evernote o Keep (digital)?
#29 Si te autentificas con tu cuenta de google, que usa tu numero de telefono para temas de seguridad, como recuperación de contraseña, hay diferentes modos de hacerte con ese numero de teléfono y entonces toda la seguridad se va a la mierda, es lo que ha pasado en los últimos casos de robos importantes de cryptos en USA.

www.theverge.com/2018/8/15/17695132/att-sued-over-lost-cryptocurrency-

Aquí un poco mas de info en Español.

www.movilzona.es/2018/09/05/pirateo-tarjeta-sim-evitarlo/
#48 En la noticia en inglés no dan información de cómo lo consiguieron; en la que está en español lo que indica es que hay que hacer un duplicado de SIM, cosa que en persona solo se debería hacer si es la persona titular y por teléfono te la tienen que enviar a casa, al tiempo que se desactiva la original. No sé, lo veo complicado para que la persona titular no sea consciente de lo que ocurre
#52 Complicado o fácil es algo tan subjetivo como los conocimientos de una persona, tu lo ves complicado, otros lo ven demasiado fácil, como esto de buscar contraseñas en la red a lo que se refiere el articulo.
#55 Me refiero con complicado a que si te deja de funcionar la SIM (porque cuando sacas un duplicado es lo que ocurre) , lo normal es que llames a tu compañía para saber que ocurre y tomar medidas
Flipante.
Yo acabo de hacer otra sencilla búsqueda y resulta que hace casi un año que se ha publicado esta noticia en diferentes medios.
Ya no es lo que era meneame que era el primer medio en hacerse eco de estas cosas.
Ahora grabe también que yo acabo de encontrar varios tableros con mogollón de info importante que barbaridad. Paso de meterme en el correo de la gente pero alguno tiene su móvil y es para enviarle un wasap y decirle quita eso loco pero ya.
Lo que se encuentra uno buscando "paypal site:trello.com" :-S
No he podido evitar que sonase en mi cabeza "How silly can you get" mientras leía el artículo... Alucinante.

-> www.youtube.com/watch?v=TSM2gMOmheA
No hay nube segura, cuantos menos datos salgan de tu ordenador mejor.

menéame