jueves, noviembre 05, 2020

Big Data Security Tales: Leaks en tablones de Tableu

Tras meses de ausencia sin escribir en El lado del mal, debido a que he estado trabajando con mucha ilusión en uno de los próximos libros de 0xWord, que espero que pronto vea la luz, regreso de mi “cuarentena” por el desierto para hablar de una nueva fuente de información sensible con la que he topado este puente de Todos los Santos. Y que da para contar un capítulo más de la historia de narrada en la serie de Big Data Security Tales.

Figura 1: Big Data Security Tales: Leaks en tablones de Tableu 

Este año 0xWord publicaba el libro Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet, en el que Vicente Aguilera Díaz y Carlos Seisdedos, hablan de las diferentes fuentes de información a través de las cuales se puede encontrar información sensible de determinadas personas o compañías.  Y hoy vamos a ver una de esas posibles fuentes de investigación que se puede encontrar en la red. Los paneles de Tableu.


En este nuevo escenario donde muchas compañías están aplicando medidas de teletrabajo para intentar paliar los efectos del COVID-19, es importante tener en cuenta las posibles fugas de información sensible que podrían producirse al utilizar nuevas herramientas a las que no estamos acostumbrados como Slack, Trello, Zoom… Pensando qué otra herramienta podría provocar estas fugas de información, este fin de semana he encontrado a través de Tableau varias fugas de información de diferentes compañías, parte de las cuales ya han sido solucionadas y recompensadas.

Fugas de información en Tableau

Tableau es una herramienta que permite visualizar grandes bases de datos de manera simple e interactiva. Esta herramienta cuenta con una versión gratuita llamada Tableau Public, pensada para estudiantes o para realizar pruebas con bases de datos simples, nunca para ser utilizada con información confidencial ni con grandes de bases de datos internos, lo cual no es siempre lo que ocurre. 

Figura 3: Versiones de Tableu

En ciertas ocasiones empleados de diferentes compañías pueden verse tentados a abrir una cuenta de Tableau para crear una presentación de manera sencilla, ahorrar tiempo, enviar un reporte a su jefe… sin comprar la versión profesional. 

Figura 4: Coste de las versiones de Tableu

Lo que sucede es que si usas esa versión gratuita, sin tener en cuenta que la información que utilicen estará disponible para el resto de los usuarios de Internet, a través del buscador ofrecido por la herramienta, puede ser que por ahorrarte unos Euros generes un problema de seguridad en tu empresa.

Figura 5: Tableus públicos con el texto "Confidential"

Visto que esto funciona así, encontrar información sensible en Tableu - y no olvidemos que es una herramienta muy común en los entornos de Big Data - es lo mismo que hacer Dorks en GitHub, dorks de Google Hacking, o cualquier otra fuente de información pública, así que se puede utilizar este buscador como una herramienta weaponizable par localizar leaks de datos.

Tableau OSINT

Con esta herramienta se permite buscar “tableros” creados por cualquier usuario a través del título o del contenido de los datos. Una vez dentro de un tablero, si el usuario no lo ha desactivado expresamente la herramienta permitirá al resto de usuarios descargar la base de datos original utilizada para crear dicha visualización. 

Figura 6: Ejemplo de un tablero público

Esta información está disponible para ser descargada sean o no los datos visibles, lo cual es importante ya que en ciertas ocasiones un usuario puede subir una base de datos completa para generar un gráfico básico, sin darse cuenta de que el resto de datos también han sido expuestos.

Figura 7: Descarga del tablón desde Tableu

Por defecto la herramienta muestra las 200 primeras filas de la base de datos, pero permite la descarga de la totalidad. Otra función interesante que ofrece la herramienta es la de buscar perfiles concretos a través del apartado “Autores”. 

Figura 8: Ejemplo de base de datos encontrada con
datos de raiders en una empresa de Delivery

Si en este buscador podríamos introducir el nombre de un empleado concreto de una compañía, o introducir directamente el nombre de la compañía y encontrar a todos los empleados que hayan vinculado a dicha compañía con su perfil. Esto permitirá buscar en perfiles de empleados de diferentes compañías, bases de datos de prueba en las que se filtre información confidencial.

Figura 9: Ejemplo de perfil asociado a una compañía

En tan solo dos días utilizando este buscador he podido encontrar más de 10 bases de datos con contenido sensible de compañías de renombre, las cuales contenían en ocasiones más de 95.000 registros de empleados (e-mails, direcciones, horarios, valoraciones internas, nombres de clientes, cantidades de productos vendidas, información financiera restringida…)

Conclusión

En esta nueva situación donde la digitalización de todos los sectores avanza a pasos de gigante, tanto las compañías como los empleados, o los usuarios a nivel particular, han de prestar especial atención en el tratamiento de información sensible con herramientas de terceros, ya que los cibercriminales podrían aprovecharse de estas fugas para encontrar nuevas maneras de atacar a los individuos y a las organizaciones. Una vez más tiro el guante a la comunidad para aquel que se atreva a “weaponizar” esta técnica y automatizar la búsqueda de este tipo de información en Tableau Para terminar, aquí os dejo más referencias de la serie Big Data Security Tales:
- Big Data Security Tales: ¡Vigila que tu MongoDB no le de tus datos a cualquiera! (Level 100)
- Big Data Security Tales: Cómo funcionan las MongoDB Injection
- Big Data Security Tales: MongoDB y Cassandra (Level 101)

- Big Data Security Tales: Apache Hadoop expuesto por no configurar HUE (Level 102)
- Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing (Level 103)
- Big Data Security Tales: Las Interfaces de acceso al HDFS
- Big Data Security Tales: Apache Amabari Default Admin
- Big Data Security Tales: WSO2 Carbon y la ayuda para el Login
- Big Data Security Tales: Los Known-Bugs en WSO2 Carbon Server
- Big Data Security Tales: Kibana & ElasticSearch objetivos del ransomware
- Big Data Security Tales: Apache CouchDB Relax... o no
- Big Data Security Tales: Riak NoSQL Database
Saludos,

Autor: Pablo García Pérez, puedes contactar conmigo en mi buzón público:

Contactar con Pablo García

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares