lunes, julio 21, 2014

Badoo, un aspirante a bombero y algo de Ingeniería Social: No te fies nada de esa chica que te entra por WhatsApp

Cada vez que tengo que entrevistar a gente durante cualquier tipo de proceso de selección, me gusta perder un poco de tiempo en Internet para ver qué cosas interesantes encuentro de ese candidato por los vericuetos de la red, ya que en 20 minutos no es fácil sacar toda la información de esa persona y en unas búsquedas por el ciber mundo puedes aprender mucho, sobre todo de aquellas redes sociales que se usan para "conocer gente y lo que surja".

Mucha gente cree que ligar en Internet es fácil, pero no todo el mundo es consciente de la cantidad de información que se deja en la red durante el “proceso de cortejo” y que esta información puede estar a “tiro de buscador” para cualquiera que haga un poco de hacking con ellos, como vamos a ver en este artículo.

Figura 1: Badoo, una red para [...] tener una cita.

Una de las redes sociales en las que suelo mirar es Badoo, ya que, aunque aparentemente si no estás registrado no puedes ver a los miembros de esta comunidad y cuáles son sus comentarios, fotografías, con qué otros miembros interactúan, etc…, inspeccionando el fichero robots.txt de Badoo se puede observar que en él no aparece ninguna ruta sobre los perfiles de sus usuarios, y que por tanto los buscadores puede que accedan a esos datos.

Figura 2: El fichero robots.txt de Badoo no restringe los perfiles de los usuarios

Cualquiera podría pensar que dichos perfiles podrían estar indexados directamente en los motores de búsqueda, o que bien como le ha pasado en la historia a Facebook o Gmail esas URLs hubieran llegado allí por mala gestión de los enlaces y las opciones de indexación y caché de los buscadores así que directamente probé a buscar usuarios de Valladolid para ver qué información podría obtener de ellos en caso de que ésta fuera pública:

Figura 3: Resultados devueltos por Google tras buscar a gente de Valladolid

Por supuesto, si estás versado en el hacking con buscadores, la experiencia te deja claro que hay que buscar en Bing también, que algunos sitios limpian URLs en Google pero se olvidan de Bing, como ya le pasó a Facebook y también a la propia Gmail, aunque al final hayan borrado también allí.

Figura 4: Resultados de Valladolid en Badoo indexados en Bing

Tras consultar el primer resultado ofrecido por Google, pude comprobar que efectivamente era posible obtener información de los usuarios de la red aún sin estar dado de alta en ella:

Figura 6: Perfil de Badoo público, con comentarios en abierto y números de teléfono

Sorprende que además pueda observase cuáles son los mensajes que intercambian sus usuarios, ya que en alguno de ellos, como puede observarse se pueden obtener números de teléfonos personal de los usuarios de la red. Puede que pensaran que estaban poniendo un mensaje privado o simplemente que les de lo mismo, que la gente puede sorprendente siempre.

Llegados a este punto, el siguiente paso era aplicar un poco de ingeniería social, ya que si algunos usuarios habían mostrado tanto interés hacia un miembro de la red social dándole directamente su número de teléfono personal, sería más que probable que también usaran alguna aplicación de mensajería como por ejemplo WhatsApp y hacer algo como lo de buscar los perfiles de contactos en los programas de televisión nocturnos. Y efectivamente, tras añadir al usuario en mi agenda de teléfono pude comprobar cómo realmente éste era un usuario de Whatsapp y tenía una foto en su perfil.

Figura 7: El perfil WhatsApp de la persona que dejó el comentario en el perfil de Badoo indexado por Google

Para tener éxito en proceso de ingeniería social, es interesante recabar información de una víctima, así que, ya que disponía del número de su teléfono móvil, volví a consultar los buscadores a ver qué información mostraban en función del número de teléfono.

Figura 8: Un comentario en un foro dejando su nickname y su número de teléfono

Observamos cómo el usuario ha dejado el número de su teléfono móvil en más lugares por Internet y que también utiliza el alias prometeo_28; podemos inferir de este alias que su edad actual puede rondar los 36 años, ya que el año que en que dejé en mensaje de la figura anterior data de 2006.

Con toda esta información recabada, el último paso es muy sencillo, hacernos pasar por una chica de nombre Rocío y empezar a entablar una conversación para ir ganando su confianza y así que nos vaya suministrando fotografías comprometedoras e incluso la dirección de su domicilio…el límite lo pone tu imaginación.

Figura 9: El chat con prometeo_28

Observamos en la conversación de Whatsapp que es una persona soltera que ha empezado a trabajar esta semana, así que seguramente no aprobaría las oposiciones de bombero o quizás éstas no se convocasen, quién sabe. Lo mejor es que pregunta si me dio el número de teléfono. ¿Le decimos que se lo dio a todo el mundo al publicarlo en un comentario de Badoo y en un foro?

Si dejas mucha información tuya en Internet, cualquier día puedes tener un verdadero problema de seguridad en tu vida, y puede que te acaben estafando. Cuida tus datos personales como si fuera tu vida, que así lo son.... y cuidado con las chicas que te entran por chat...

Autor: Amador Aparicio
Twitter: (@amadapa)

18 comentarios:

the mentor dijo...

Es pan comido sí.

Anónimo dijo...

Muy buen artículo. Por desgracia aún mucha gente que utiliza internet y las redes sociales habitualmente, no es consciente de dónde quedan sus datos.
Espero que al final avisaras a este chico de que su número estaba publicado en la red.

Otro punto, en las imágenes que muestras salen nombres de personas con sus dos apellidos y en algunos casos fotos o los dos primeros números del teléfono. Creo que estaría bien que al menos ocultaras los nombres y parte de las fotos.

Anónimo dijo...

pues parece que han tardado poco en corregir el robots.txt de badoo

Anónimo dijo...

Meetic envía contraseñas en texto plano. :/

Anónimo dijo...

Joder macho, ¿otro troll haciéndose pasar por tía? Entre eso y la de travestis que hay por badoo uno ya no sabe si le compensa ligar ahí.

Anónimo dijo...

Tu artículo es un certificado a la virginidad eterna.

Anónimo dijo...

Cada vez menos gente usa Whatsapp, migrando a apps mas seguras como Telegram

El troleo a ese sujeto fue muy divertido, pero cada hay menos gente a quien trolear.

Jonathan Novel dijo...

Con Google+ me vasta y me sobra...
Ni WhatsApp ni Facebook ;)
WhatsApp = Facebook :(

La cosa esta fatal...

Anónimo dijo...

¿A nadie le preocupa la posible infracción legal en la que podría incurrir este post?
Para ilustrar el contenido, podríais haber inventado una identidad anónima.
En vez de eso, habéis cogido a un chaval que no ha hecho nada malo, habéis publicado sus fotos (si vive en un pueblo pequeño todos sabrán que es él), no os habéis molestado en tapar los apellidos en las capturas de pantalla, y habéis presumido de "ingeniería social" publicando una conversación privada.

Si esto es filosofía "hacker", perdona que me mee de la risa. Si esto son técnicas de recursos humanos, normal que sigamos teniendo empresas de mierda.

JohnZ dijo...

Estoy de acuerdo con el comentario anterior, creo que lo que se intenta demostrar con este ejemplo es muy interesante y la gente debería ser consciente del rastro que deja por la red, pero hacerlo publicando nombres, apellidos, nicks, fotos y conversaciones de una persona concreta es muy cuestionable.
Tampoco me gusta la idea de rebuscar por el mundo digital datos "privados" de personas a las cuales se les hace una entrevista de trabajo (o lo que sea). ¿No deberíamos tener un poco de fe en la gente y conformarnos con lo que sacamos de la entrevista y lo que la persona deja de manera pública conscientemente en la red?
Sólo son un par de puntualizaciones, gracias por ilustrar todos estos problemas/agujeros/detalles de seguridad y privacidad en la red.

Anónimo dijo...

También creo que el contenido del post es interesante, pero la forma de ilustarlo demuestra muy poca moral y además chapucerío:

-Se puede explicar lo que es la ingeniería social SIN UNA VÍCTIMA REAL. Cualquier experto en seguridad informática es capaz de explicarlo. Qué cojones, cualquiera que lea un poco en wikipedia es capaz de explicarlo. En serio, no es tan difícil. Pues no: para diversión del autor y para que se crea más listo que nadie, usa una víctima real. El autor es profesor de informática en FP. Pues vaya mierda de profesor y vaya mierda de formación dará si cada concepto de seguridad lo tiene que ilustrar con víctimas reales.

-Para más inri la víctima es parte de un proceso de selección de personal, y eso es asqueroso dada la relación de poder entre ambos (uno puede tomar decisiones vitales para el otro). Además involucra a una chica a la que suplanta la identidad y que sin comerlo ni beberlo se ha visto involucrada en el post.

-Y además quien hace el post ha hecho una chapuza, porque tapa el apellido de la chica en una de las fotos y en otro sitio no. Tapa medio teléfono en una foto y un número menos en otra foto...

Un post interesante, pero contado de una manera que me repugna de arriba a abajo.

Este blog me ha enseñado muchas cosas y me ha divertido mucho tiempo, pero de un hacker se espera cierto código ético que os habéis pasado por el forro: mal Chema, mal Amador.

Maligno dijo...

@Anónimo del final, por desgracia, el número de sitios en los que está el teléfono es altísimo y basta con hacer una búsqueda de perfiles de Baddo en Google en cualquier sitio para que salgan. Yo he tadpado algunos datos para que no salgan directamente, pero era imposible que no se diera con ellos. De hecho, lo que se ha hecho es avisar a Badoo para que elimine esos datos y ... han pasado de nosotros, por eso esta denuncia pública.

PD: Los nombres de los perfiles están en todos los title de las páginas indexados en Google, como se puede ver.

Saludos!

Anónimo dijo...

Hola, soy el anónimo anterior.

A ver, si el asunto no es revelar datos que sean más o menos públicos, que parece que es lo único que te obsesiona.
Es la falta de ética que implica esa jugarreta de conseguir información y luego suplantar la identidad de alguien para contactar con otra persona y entablar conversación (me da igual el tema que sea, si es privado o si hablaban de fútbol) con el único objetivo de escribir un post en un blog.
A lo que voy es que es un engaño totalmente innecesario. Se podía haber dado la misma moraleja sin necesidad de engañar a nadie ni exponerlo de esta forma.

Por otro lado, todo esto ocurre en el contexto de selección de personal, con lo cual el tema se vuelve mucho más asqueroso.

¿Al terminar la conversación de whatsapp se le reveló a Alberto el motivo real de esa conversación? ¿Que todo era para escribir un post en un blog?

Si no sois capaces de verlo, sencillamente está claro que tenemos escalas de valores y sistemas éticos diferentes. Para mí escribir un post en un blog no vale más que engañar a una persona y encima implicando a una tercera. Para vosotros está claro que está por encima el blog. Pues vale.

Anónimo dijo...

Estoy aburrido de ver paginas teorizar sobre esto o lo otro y a saltar parrafadas sin demostrar nada

Uno de los encantaos de esta pagina aparte del fabuloso punto de vista de txema es que muestra lo que ha hecho para que novatos como yo puedan replicarlo y aprender.

Por contra las explicaciones teoricas perse no animan a nadie a profundizar en un tema

Sobre el mostrar los datos de forma parcial es una forma de poner las pilas a la gente ya que hasta que no te toca la gente no presta atencion a las posibles amenazas, y se escuda en el tipico a mi ? paraque van a entrar en mi ordenador? o para que van a querer mi informacion.

Este blog es como una pequeña vacuna que nos hace reflexionar y que puede evitar incluso al tipo del ejemplo a k lo solucione antes de k alguien realmente malo utilice sus datos

Anónimo dijo...

....está muy bien la cosa.... La gente es idiota por dejar sus datos personales y privados en internet, al alcance de cualquiera, pero si públicamente alguien "les llama idiotas", ese alguien se convierte en el malo. Creo que el post sólo quiere ejemplificar no sólo lo que puede suceder, sino lo que sucede en realidad: que la gente pica. La culpa no es del "hacker/bloguero". La culpa es del individuo que ha dejado sus datos al alcance de cualquiera. Suerte tendrá el "bombero" si esto es lo único que le pasa.

Amador dijo...

Anónimo 22/7/14 2:54 P. M

El usuario de Badoo conoce la existencia del artículo y conoce ahora también qué información personal de él está en Internet. Él pensaba que esto "iba a quedar en Badoo" y ha visto cómo no es así.

Nos ha dado las gracias por ello y como es lógico, meterá "caña" a Badoo...

BioGeos dijo...

Hola Amador,

he tenido un pequeño problema con badoo. Acabo de enterarme que tengo una cuenta creada en esta aplicación. Yo no la he creado y he intentado comprobar si ha sido mi facebook quien la hubiera creado sin mi consentimiento. En la privacidad del facebook no me aparece como una aplicación que éste esté usando. Sabes si hay alguna posibilidad de averiguar si se ha creado de forma automática o si la ha creado alguien intencionadamente?

Gracias

Anna dijo...

Hola Chema,

No sé si leerás las entradas tan antiguas pero por intentar que no quede...

Me gustaría saber si existe alguna manera de localizar a una persona en facebook a través de su cuenta en badoo. Sólo quiero localizarle, nada de hackear la cuenta o similares!

Hace un año y pico perdimos el contacto y no sé ningún apellido suyo. La cuenta de badoo la tiene activa pero no la usa. Por lo que aparece en el código fuente de badoo (< meta property="fb:app_id" content="107433747809" >) entiendo que no se registró directamente en badoo sino que entró a través de su facebook, así que tiene que haber alguna manera de encontrar esa conexión, no?

Gracias de antemano ;)

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares