domingo, marzo 24, 2019

Un leak en “Pipl” que weaponiza tus leaks y publica tu teléfono en Internet. ** Ten cuidado **

Las técnicas OSINT (Open Source Intelligence) se basan en extraer información que es pública o que está disponible públicamente. Pero no siempre quiere decir que esa información debiera ser pública. En muchos casos esa información proviene de leaks que tiene las plataformas que dan soporte a los servicios de Internet, como los que explota OSR-Framework, o los simples info-leaks del login.

Figura 1: Un leak en “Pipl” que weaponiza tus leaks y publica
tu teléfono en Internet. ** Ten cuidado **

Jugando con estos leaks se puede sacar mucha información, como ya os conté con el caso del número de teléfono en Paypal del que os hablé hace un año, haciendo algún proceso de "weaponización". Es decir, automatizando la fuga de información para sacarle algún provecho en la extracción de datos, como en el caso de los números de teléfono en cuentas de Facebook haciendo búsquedas inversas.


Figura 2: Charla sobre Info-leaks en servicios web por Chema Alonso

Y de todas estas técnicas sabe sin duda la web Pipl, un motor de búsqueda de información sobre las personas utilizado en procesos OSINT y que bebé de miles de sitios web y redes sociales. Perfecto para demostrar que otro Cambridge Analytica es más que posible todavía y que estamos lejos de dejarnos ser perfilados fácilmente por técnicas de Big Data.

Figura 3: Web de Pipl con más de 3 mil millones de personas registradas

En esta web podemos buscar a cualquier persona y ver rápidamente cuáles son sus perfiles principales, y una breve descripción de quién es, llegando a dar datos personales como su número de teléfono o dirección de correo electrónico.

Figura 4: Registro de Chema Alonso en pipl

Esta información, que a priori parece que no es accesible desde la web externa, es bastante importante, más, cuando se pueden hacer búsquedas inversas utilizando los números de teléfono, lo que completaría perfectamente el servicio de "Dirty Business Card" del que hablaba Chema Alonso tiempo atrás.


Figura 5: Dirty Business Card Reader: PoC

Esta información es accesible si ha sido filtrado por algún leak o si, por desgracia, el dueño de la cuenta en una red social no ha sido lo suficientemente precavido como para configurar de la manera adecuada las opciones de privacidad de sus cuentas en los servicios de Internet en los que se ha sacado cuenta.

Sacando E-mail y Telefóno de Pipl

Pero lo peor es que esta información, que parece que no está disponible a priori, realmente sí que lo está. Está en campos hidden de la web de Pipl que está abierta a todo el mundo. Basta con buscar el campo "phn" y aparece el número de teléfono que ha sido descubierto por esta web. En el caso de Chema Alonso sale el de su antigua oficina en Informática 64.

Figura 6: Teléfono y cuenta registradas de Chema Alonso

Este es un leak fácil de weaponizar, por lo que el riesgo es bastante alto. Si tienes cuentas en redes sociales o servicios de Internet en los que has configurado tu número de teléfono personal como información adicional o como 2FA te recomiendo que te busques. Puede que te sorprenda encontrar la información que de ti tienen.

Figura 7: E-Mail y Teléfono particular de una cuenta en Pipl

El proceso de salir de esta base de datos es un poco lento, por lo que te recomiendo que comiences por averiguar de donde puede provenir el leak que ha llevado tu información a esta base de datos, configurando de manera robusta todas tus cuentas, y después que solicites de manera legal la retirada de tus datos. Este es nuestro mundo hoy en día. Uno en el que tus datos vuelan con mucha facilidad.

Autor: Pablo García Pérez

No hay comentarios:

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares