Google Alerts, Google Groups y Un Poco De Browser Hacking

Hace unos cuantos días os di a conocer la importancia de [configurar los grupos de Google Groups] como dios manda ya que sino a la gente curiosa como yo nos da por [buscar información confidencial] en este tipo de lugares a ver lo que pescamos. 

Hoy intentando automatizar este proceso para no tener que ir en busca de nuevas actualizaciones a ver que nueva información podría sacar, he decidido jugar un poco con Google Alerts para ver si me podía enviar correos haciendo búsqueda avanzada utilizando un poco de Google Hacking.

Si, jugando jugando podemos añadir una query avanzada del tipos: 

• site:"https://groups.google.com" intext:"@santander.com"

Con lo que descubrimos que nos devuelve las direcciones de correo electrónico que podemos encontrar en Google Groups. 

Nada, ahora solo haría falta darle a crear alerta y ya la tendremos disponible para que nos envíen un correo a nuestra cuenta de correo o que añadirlo a nuestro feed RSS. 

Ahora ya podéis tener controladas todos vuestros hallazgos encontrados a través de Google Hacking. 

Sed Buenos ;) 

Google Groups y La Primera Fase De Una APT

¡Mi banco por una barra de búsqueda! Así es,  si echamos un vistazo a las fases de una Advanced Persistent Threat la primera de todas es la recopilación de información publica de la entidad a la que se va ha atacar para una posterior campaña de phishing contra la empresa. 

Esta recopilación de información se hace mediante técnicas OSINT (Open Source Intelligence) aunque el mal uso de algunas "redes sociales" por parte de algunos de los trabajadores, ayuda mucho. 

Hace bastante os hablé de que buscando por Google Groups se podrían [encontrar información confidencial de varios bancos] y os puse un ejemplo con el de BBVA. Pero, si no solo buscamos el nombre del, como en este caso,  del banco en cuestión y pensamos en como serian su cuentas de correo podremos hacer búsquedas mas divertidas y encontrar información tan suculenta como las firmas de sus correos. Así es, algunos de los trabajadores nos facilitan el Phising perfecto. 

Ademas, al estar esta información pública debido a la mala configuración de los grupos de Google Groups es fácil poder hacerse con ella: 

Creo que hay empresas que tendrías que contratar a gente que supiera hacer frente a la fuga de este tipo de información o limitar el uso a los trabajadores desde la misma institución.

Sed Buenos con esto 0;) 

Google Groups.- El Arte De Lo Confidencial

Ayer, a parte de spameros un nuevo congreso la mar de interesante, hice hincapié en lo importante que es la fuga de datos para una empresa. Imaginaros al pobre administrador que debe estar desesperado intentando gestionar la nueva moda de BYOD (Bring Your Own Divice), y ahora tiene que lidiar con los usuarios de nivel "listillo" el cual decide utilizar Google Groups porque dice que es "mazo seguro" y útil y se le olvida configurar la privacidad de su cuenta provocando así una fuga de información monumental.

Si, habéis leído bien ayer haciendo algunas búsquedas avanzadas por google groups encontré lo siguiente (he dejar por escrito que esto no es ningún delito, es información que el usuario dejado por si propia voluntad que fuera publica) : 

¿Un poco turbio no? Como bien pensáis en esos mails deben estar repletos de nombres, teléfonos, direcciones de correo, etc. Bueno, llegados a este punto seguí buscando hasta llegar hasta a la raíz del grupo el cual no tenia ninguna configuración de privacidad como podéis comprobar. 

Perfecto me encanta poder trabajar con la gente de Colombia,  pero no creo que una empresa de tanta magnitud como esta desee tener que tanta información expuesta de esta manera tan "ridícula". Vamos a darle "Acerca de" a ver que nos puede decir.

Esto solo es un ejemplo de la cantidad de empresas que utilizan Google Groups y que no se están dando cuenta de que han de configurar su privacidad para que no alguien, com posiblemente menos buena fe que yo, utilice esos emails, correos, INFORMES, etc para algo mas provechoso pero menos ético que escribir un blog.