Un leak en “Pipl” que weaponiza tus leaks y publica tu teléfono en Internet. ** Ten cuidado **

Las técnicas OSINT (Open Source Intelligence) se basan en extraer información que es pública o que está disponible públicamente. Pero no siempre quiere decir que esa información debiera ser pública. En muchos casos esa información proviene de leaks que tiene las plataformas que dan soporte a los servicios de Internet, como los que explota OSR-Framework, o los simples info-leaks del login.

Figura 1: Un leak en “Pipl” que weaponiza tus leaks y publica
tu teléfono en Internet. ** Ten cuidado **

Jugando con estos leaks se puede sacar mucha información, como ya os conté con el caso del número de teléfono en Paypal del que os hablé hace un año, haciendo algún proceso de "weaponización". Es decir, automatizando la fuga de información para sacarle algún provecho en la extracción de datos, como en el caso de los números de teléfono en cuentas de Facebook haciendo búsquedas inversas.


Figura 2: Charla sobre Info-leaks en servicios web por Chema Alonso
Y de todas estas técnicas sabe sin duda la web Pipl, un motor de búsqueda de información sobre las personas utilizado en procesos OSINT y que bebé de miles de sitios web y redes sociales. Perfecto para demostrar que otro Cambridge Analytica es más que posible todavía y que estamos lejos de dejarnos ser perfilados fácilmente por técnicas de Big Data.

Figura 3: Web de Pipl con más de 3 mil millones de personas registradas

En esta web podemos buscar a cualquier persona y ver rápidamente cuáles son sus perfiles principales, y una breve descripción de quién es, llegando a dar datos personales como su número de teléfono o dirección de correo electrónico.

Figura 4: Registro de Chema Alonso en pipl

Esta información, que a priori parece que no es accesible desde la web externa, es bastante importante, más, cuando se pueden hacer búsquedas inversas utilizando los números de teléfono, lo que completaría perfectamente el servicio de "Dirty Business Card" del que hablaba Chema Alonso tiempo atrás.


Figura 5: Dirty Business Card Reader: PoC
Esta información es accesible si ha sido filtrado por algún leak o si, por desgracia, el dueño de la cuenta en una red social no ha sido lo suficientemente precavido como para configurar de la manera adecuada las opciones de privacidad de sus cuentas en los servicios de Internet en los que se ha sacado cuenta.

Sacando E-mail y Telefóno de Pipl

Pero lo peor es que esta información, que parece que no está disponible a priori, realmente sí que lo está. Está en campos hidden de la web de Pipl que está abierta a todo el mundo. Basta con buscar el campo "phn" y aparece el número de teléfono que ha sido descubierto por esta web. En el caso de Chema Alonso sale el de su antigua oficina en Informática 64.

Figura 6: Teléfono y cuenta registradas de Chema Alonso

Este es un leak fácil de weaponizar, por lo que el riesgo es bastante alto. Si tienes cuentas en redes sociales o servicios de Internet en los que has configurado tu número de teléfono personal como información adicional o como 2FA te recomiendo que te busques. Puede que te sorprenda encontrar la información que de ti tienen.

Figura 7: E-Mail y Teléfono particular de una cuenta en Pipl

El proceso de salir de esta base de datos es un poco lento, por lo que te recomiendo que comiences por averiguar de donde puede provenir el leak que ha llevado tu información a esta base de datos, configurando de manera robusta todas tus cuentas, y después que solicites de manera legal la retirada de tus datos. Este es nuestro mundo hoy en día. Uno en el que tus datos vuelan con mucha facilidad.

Autor: Pablo García Pérez

Y esta semana toca... @0xWord @luca_d3 @elevenpaths

Como dicta la rutina que he tomado, os dejo un sábado más la lista de eventos, cursos, conferencias, charlas, y demás citas a tener en cuenta de las que realizamos nosotros. Yo estaré de viaje por Argentina que tengo que ir a Córdoba a asistir y tener una pequeña participación en el VIII Congreso Internacional de la Lengua Española.

Figura 1: Y esta semana toca...

A mi vuelta, ya sabéis, estaré en la RootedCON 2019 en Madrid con una ponencia el viernes por la tarde y firmando libros de 0xWord. Con eso tengo la semana echada por mi parte, que los vuelos al otro lado del Atlántico y el cambio horario se llevarán parte de mi tiempo útil. Pero la semana tiene muchas más cosas que merece la pena que tengáis en el radar, así que os las traigo por aquí para que las tengáis controladas.

25 de Marzo: Curso Profesional de Auditorías Móviles [Online]

Si eres un profesional de la informática y quieres adentrarte en el hacking o quieres mejorar tus aspectos profesionales en el mundo de la seguridad informática, o simplemente sientes curiosidad por el hacking, puedes apuntarte a este curso que permite estudiar cuándo, cómo y dónde quieras. Con este curso conocerás las últimas y más eficientes técnicas de pruebas de hacking ético a dispositivos móviles con sistemas operativos Android e iOS. 

Figura 2: Curso Online de Auditorías Móviles

Esta es una formación que te permitirá, posteriormente, realizar auditorías de pentesting a dichos dispositivos móviles de manera profesional. Con 120 horas de formación que abarcan un temario que va desde la auditoría de aplicaciones móviles hasta el análisis forense de los dispositivos completos. Tienes el temario completo en la web de esta formación.

Figura 3: Libro de Hacking iOS: iPhone & iPad (2ª Edición)

Además, se entrega como complemento a la formación el libro que escribimos entre varios profesionales centrada en la auditoría, el hacking y el análisis forense de dispositivos de Apple de 0xWord titulado "Hacking iOS: iPhone & iPad (2ª Edición)". 

25 de Marzo: Experto en red TOR y Deep Web [Málaga]

Formación de 16 horas que comienza el día 25 de Marzo en Málaga en horario de tarde. Este curso se ha desarrollado para dotar al alumno de los conocimientos en el uso de tecnologías que proporcionan privacidad y anonimato al usuario. 

Figura 4: Curso experto en la red TOR y Deep Web Málaga

Se abordaran distintas temáticas tales como el uso de Proxys, VPN y red TOR, pros y contras de cada una de ellas, comparativas entre las distintas tecnologías y como pueden se pueden usar de forma combinada para proporcionar un mayor nivel de privacidad y anonimato. 

Figura 5: Libro Deep Web: Tor, FreeNET & I2P

La formación constará de una parte teórica y una parte práctica para poder sacar el máximo provecho a este taller. Los alumnos recibirán como material de apoyo el libro de 0xWord de "Deep Web: TOR, FreeNet, I2P. Privacidad y Anonimato". Tienes toda la información sobre esta formación en la web de Comunix dedicada al curso: Experto en red TOR y Deep Web.

26 y 27 de Marzo: FutureNET World [Londres]

FutureNet World es un evento anual para compartir los desafíos más difíciles de las operadoras, enfocándose en los últimos avances tecnológicos, con un análisis visionario de los servicios que los clientes están demandando en el mundo digital.

Figura 6: FutureNET World

El Dr. Richard Benjamins, Big Data & AI Ambassador en LUCA, participará en la ponencia “Examinando cómo la automatización de la red y la IA están habilitando nuevos modelos y servicios de negocios digitales mediante el uso de datos”.

27 de Marzo: Datanomics [Madrid]

Una de las mayores expertas de nuestro país en identidad digital y aspectos legales de la tecnología, Paloma Llaneza, estará en nuestro auditorio realizando un didáctico repaso a las implicaciones legales y sociales que puede tener en nuestra vida cuando pulsamos el botón “Acepto la política de privacidad y términos de uso”. Paloma Llaneza conversará con el escritor Pepe de la Peña.

Figura 7: Evento Datanomics en el Espacio de la Fundación Telefónica

El último ensayo de Llaneza, Datanomics, editado por Deusto, supone un demoledor y brillante repaso a todas las consecuencias que preferimos obviar cuando aceptamos que las grandes compañías tecnológicas comercien con nuestros datos personales.

Estos datos reflejan comportamientos y pensamientos profundos perfectamente identificados e individualizados, que facilitan a las empresas y a los Estados la toma de decisiones sobre nosotros, pues así saben lo que vamos a hacer en cada momento. Y como nos conocen más que nosotros mismos, nos dirigen hacia una toma de decisión u otra. 

28 a 30 de Marzo: RootedCON 2019 [Madrid]

Como ya os había dicho, durante estas fechas tiene lugar la RootedCON Madrid. Tres días de charlas, formaciones, hacking y networking en el sector de la seguridad informática. Yo estaré el viernes, y durante los tres días habrá muchos compañeros de 0xWord, ElevenPaths y Telefónica. Tienes la lista de todas las charlas en la web del congreso.

View this post on Instagram

Daré mi charla en RootedCON Madrid el día 29 de Marzo por la tarde. 10 años después aún continúa creciendo esta CON en Madrid }:)

A post shared by Chema Alonso (@chemaalonso) on Mar 20, 2019 at 5:35am PDT

29 de Marzo: RITSI 2019 [Albacete]

Este año la X Edición del RITSI tiene lugar en Albacete, y aunque yo he intentado poder estar de forma presencial allí, mi viaje a Argentina no me lo ha permitido, por lo que estaremos colaborando con un stand de 0xWord donde podrás adquirir nuestros libros. Si quieres que alguno de los autores - incluido yo mismo - te firme el libro, puedes pedirlo por anticipado a info@0xWord.com y lo recoges allí mismo. Tienes toda la info de la jornada en esta web.

Figura 9: X Congreso RITSI en Albacete

Y esto es todo, pero para completar el post os dejo la última entrevista que me hicieron vía teléfono tras mi participación en la Campus Party Punta del Este en Uruguay.


Figura 10: Entrevista radiofónica para En Perspectiva
Espero que estos eventos tengan alguna actividad que os sea interesante en la que participar. Nos vemos en el post de mañana que me toca hacer un poco de deporte.

Saludos Malignos!