(New) WordPress in Paranoid Mode!

Quizás recuerdes, ya hace algunos años, una PoC que hicimos sobre cómo proteger WordPress en modo paranoico donde, además de proteger el login del usuario con el plugin de Latch para Wordpress y hacer un hardening a Wordpress y a nivel del sistema operativo bloqueando el acceso SSH con el plugin de Latch para UNIX, se hacía una protección a nivel de base de datos con la creación de distintos triggers que permiten proteger las operaciones INSERT, UPDATE & DELETE.

Figura 1: (New) WordPress in Paranoid Mode!

Este trabajo se plasmó en diferentes conferencias dónde Chema Alonso habló sobre ello y la importancia que tiene el controlar, a través de un segundo factor de autorización, la modificación de los datos o de la información. En la charla “My Wordpress in Paranoid Mode”, Chema, hablaba de ello en Open Expo en el año 2016:


Figura 2: My WordPress in Paranoid Mode

Además, se puede seguir teniendo acceso al repositorio del año 2016 a través de su enlace en Github, aunque actualmente no es funcional debido a dependencias de alguna librería para MySQL. Esto supuso un reto para nosotros, ya que queríamos hacer que las dependencias desapareciesen. 

Figura 3: Máxima Seguridad en WordPress

En la nueva versión de Wordpress in Paranoid Mode se ha conseguido, ya que hemos creado una arquitectura dónde se mejora en rendimiento y ‘delays’ respecto a la prueba de concepto primera. Ya no dependemos de la red, por lo que la latencia es disminuida drásticamente.

Figura 4: (New) WordPress in Paranoid Mode!

Para los más técnicos, os dejamos un pequeño workshop, de los 11PathsTalks dónde os explicamos cómo funciona WordPress in Paranoid Mode!  En este workshop se habla a bajo nivel de la solución propuesta y de cómo cubre la necesidad de tener el control de la edición y modificación del dato. 

Figura 5:  Workshop de WordPress in Paranoid Mode!

Esto ya permitía crear diferentes esquemas de dobles autorizaciones o flujos de aprobaciones que permiten controlar cuándo y cómo se van a modificar los datos o bajo qué circunstancias, además de lo que ya podías hacer de proteger el Login de WordPress con Latch.

Figura 6: Integración de Latch para proteger el Login de WordPress

A modo de resumen y con el objetivo de mostrar las novedades os comentamos cómo funciona este (new) Wordpress in Paranoid Mode. Para proteger la base de datos, se crean tres operaciones en la aplicación de Tu Latch que permiten el control de diferente manera:

• Read-Only: Este es el modo más restrictivo de todos. Cuando el pestillo está puesto en el en modo solo lectura, ningún usuario puede hacer login en WordPress. Únicamente se permite la lectura, por lo que no es posible realizar cambios en la base de datos (insertar, actualizar o eliminar).

• Edition: En este modo se protege la edición (tabla wp_posts), por lo que no se permite la creación de nuevos posts, ni la edición, ni la eliminación.

• Administration: Este modo permite proteger la creación, actualización o eliminación de usuarios, ya que actúa para proteger la tabla wp-users.

Cuando se desencadena un trigger, se comprueba el estado de Latch para ver si se tiene permitida la operación. Esto implica realizar una llamada al servicio de Latch cada vez que un trigger salta.

Figura 7: Operaciones para WordPress in Paranoid Mode

Ahora, hemos creado una nueva revisión de esta PoC, donde se han incluido algunas mejoras para adaptarlo a los flujos de trabajo actuales y se han optimizado algunos apartados. El mayor cambio, optimizando tiempos de respuesta y mejorando la eficiencia en el manejo de datos.

• En lugar de realizar una petición al servicio de Latch cada vez que se activa el trigger, se ha implementado el uso de los WebHooks que ofrece Latch. Esto ha sido una mejora notable para solventar problemas de latencia y de rendimiento.

• El agente conoce el estado de los pestillos (y se actualizan a través del WebHook). Esto permite mejorar la rapidez de las consultas para ver si se tiene al acceso a la creación, modificación o eliminación de la tabla de WordPress que se está protegiendo.

• Se ha desarrollado una GUI que te va guiando por distintos pasos para la instalación del agente en local y en remoto.

Figura 8: WordPress in Paranoid Mode Installer GUI

Para que la instalación se realice correctamente, hay algunos requisitos:

• Conexión con el motor de base de datos que contiene la base de datos de WordPress a proteger: Esta conexión debe hacerse con el usuario root. Esto es importante ya que se debe realizar la creación de la nueva base de datos que tendrá el estado de los pestillos por operación almacenados, así como la creación de un usuario para la gestión y consulta de esta tabla.

• Conexión con la aplicación de Latch: Se debe disponer de una cuenta de desarrollador de Latch para crear la aplicación y obtener su ID de aplicación y su secreto. De esta manera, el instalador creará las operaciones correspondientes (read-only, edition, administration) y las almacenará en la base de datos.

• Instalación del agente: El agente se ejecuta en segundo plano en una máquina con acceso desde internet y que será validado como el WebHook de la aplicación de Latch. Desde la GUI se puede instalar el agente en la máquina local o en una máquina remota a través de SSH. La máquina tiene que tener las siguientes dependencias instaladas: python3, python3-pip y gunicorn. Las pruebas de instalación de han ejecutado sobre la versión 3.12 de Python.

Tienes el nuevo código de WordPress in Paranoid Mode disponible en el repositorio de GitHub latch-plugin-wipm.

Figura 9: Instalación de WordPress in Paranoid Mode!

Justo en el vídeo de arriba te enseñamos funcionamiento del instalador, que como se puede ver es realmente sencillo y “friendly” para que lo puedas usar en tus fortificaciones de WordPress in Paranoid Mode! ... como debe de ser.

Figura 10: Tu Latch "Hack Your Innovation Contest".

Haz un PoC & Hack por 1.000 €

Por último, como sabéis, tenemos el Latch Hack Innovation Contest para que puedas hacer integraciones tan espectaculares como esta y ganarte un premio. En este artículo del blog puedes leer todos los detalles para que te lleves el premio: "Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €"

<->Saludos y...

Happy Coding!

Pablo González Pérez, escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de Telefónica Innovación Digital.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

Contactar con Álvaro Núñez-Romero

Cómo se creó CodeName: "News Bender Project" con GenAI

En la presentación de RootedCON 2024 de este año presentamos News Bender Daily, un blog basado en la generación automática de contenido en medios digitales utilizando GenAI. La idea es tan sencilla que, gracias a la potencia de los LLM se puede re-escribir noticias de otros medios para tener siempre contenido fresco, además de hacerlo con el tono y el tinte que se quiera. 

Figura 1: Cómo se creó CodeName: "News Bender Project" con GenAI

Esto es un arma maravillosa para el SEO, para el BlackSEO, para la distribución de Malware, para las FakeNews, o para la desinformación interesada. Hoy os voy a contar cómo lo hicimos, que no tiene mucho misterio una vez que entiendes cómo funciona.

Figura 2: News Bender Daily

El objetivo era ver cómo se podría crear un medio digital re-escribiendo noticias de otros para luego orientarlo a lo que se quisiera. Así que elegimos el tema de la tecnología, y seleccionamos una serie de blog a los que utilizar como fuentes de noticias, como The Hacker News, TechCrunch, Wired y The Verge. De todos ellos bebemos los RSS de noticias.

Figura 3: Carga de fuentes RSS para re-escribir las noticias

Después, el funcionamiento es bastante simple, se seleccionan las noticas a re-escribir - que es lo que hacen muchos escritores de medios digitales -, y se asignan a un escritor de nuestra plataforma, que no es nada más que una configuración de un agente GenAI.

Figura 4: Asignación de noticias a escritores GenAI

Estos agentes escritores/redactores de noticias, están definidos por una persona que no existe creada por una StyleGAN, y una forma de escribir que se utiliza para darle el tono a la re-escritura de la noticia que se busca.

Figura 5: Los escritores son agentes de GenAI caracterizados

Estos escritores, dados una vuelta, son los que utilizamos para convertir este proyecto en un medio de difusión de ideologías políticas, como vimos en el programa de televisión con Iker Jiménez y Carmen Porter donde creamos a nuestros "periodistas GenAI de desinformación política".

Figura 6: Creando a nuestro escritor

Para hacer la re-escritura de noticias, lo único que se hace es usar la potencia de los LLM multimodales, que va desde crear el título, elegir la categoría, diseñar la imagen, hasta poner los enlaces en las noticias que se buscan.

Figura 7: Agentes de GenAI re-escribiendo las noticias

Para ello, todo lo que tenemos que hacer, es pedirle al modelo LLM que nos haga las cosas y luego unirlas todas para publicar la noticia. 

Figura 8: Le pedimos que nos haga el prompt para

hacer la imagen de un párrafo de texto

Primero, le pedimos que nos haga el Prompt para Dall-E de la imagen que vamos a usar como cabecera de la noticia. Como veis, le metemos el Prompt en lenguaje natural. Para darle un toque, definicmos una serie de estilos para las imágenes, que nos de variedad y uniformidad al mismo tiempo.

Figura 9: Estilos para nuestras imágenes

Ahora vamos a empezar con el trabajo de escribir. Primero elegimos el título que le vamos a dar a esta noticia, así que hay que configurar el agente escritor con algo como esto que tenéis aquí. Como podéis ver, le pasamos el título orinal de la noticia.

Figura 10: Prompt para el título de la noticia

Ahora que nos re-escriba el texto de la noticia, siguiendo el estilo del agente que hemos seleccionado en el interfaz para escribir la noticia. Cuando lo escribimos automáticamente esto es una función de selección de autor que puede ser aleatoria, secuencial o por temática. Como tú quieras.

Figura 11: Aquí le pedimos que nos re-escriba la noticia

(y que no salga el sitio original)

Le toca el turno a que le pidamos que esta noticia nos la re-escriba SEO-Friendly para tener mucho más impacto con nuestro medio digital. Aquí tenéis el prompt utilizado.

Figura 12: El Prompt para hacer la noticia SEO-Friendly

Como podéis ver, en la Figura 11 le hemos pasado el estilo que queremos que use para la re-escritura de la noticia. Esto es lo que se captura de la definición del agente, y que puede ser algo como esto que veis a continuación.

Figura 13: Definición de un estilo de escritura

Ahora vamos a decirle que nos ponga los enlaces en la noticia que nosotros hayamos seleccionado, o que nos interese. Esto, en una distribución de malware, o de BlackSEO, os podéis imaginar que es lo más importante.

Figura 14: Colocación de enlaces en la noticia

Y lo mismo para la elección de las negritas del texto de la noticia. Un pequeño prompt para hacer trabajar a GPT4 en el resaltado de los temas importantes de la noticia.

Figura 15: Elección de las negritas del texto

El resultado que se obtiene tras estos dos últimos procesados es el que se ve a continuación, donde tenemos enlaces y negritas dentro del mismo texto de la noticia. Siempre trabajando en formato JSON para luego poder publicarla directamente en el servidor de noticias.

Figura 16: Resultado de poner enlaces y negritas

Para terminar, vamos a elegir las categorías de las noticias, que esto tenemos que publicarlo en un WordPress, y necesitamos que estén todos los datos completos.

Figura 17: Elección de la categoría deda una lista de categorías del blog

Y listo. Una vez acabado esto, la notica está completa, se publica en el blog, tal y como podéis ver en la imagen siguiente.

Figura 18: Así nos quedaría una noticia

Después, todas las noticias se viralizan por las redes sociales para conseguir el máximo de alcance de cada una de ellas. Para ello, primero la publicamos en X (Twitter) automáticamente.

Figura 19: Sacando la noticia en Twitter (X)

Después, usamos por ejemplo el servicio de Tempos x Tweets de MyPublicInbox para conseguir que llegue mucho más lejos en esta red social.

Figura 2o: Tempos por Posts / Tweets en MyPublicInbox.

Como veis, yo saco mis posts de El lado del mal por aquí.

Y dejamos que Internet haga su magia y la noticia acabe referencia y enlazada en el máximo número de sitios posibles para conseguir relevancia con este medio digital.

Figura 21: La noticia de Newsbenderdaily referenciada

Al final, con este ejemplo vemos lo fácil que es crearse un medio digital para manipular la información, conseguir relevancia o hacer cosas malas con los visitantes. Además, creemos que esto pone de manifiesto el valor del buen periodismo y no de copiar noticias de otros, lo que lleva a que esos periodistas puedan ser reemplazados por un "GenAI Script muy pequeñito".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

"CodeProject: NewsBender" Desinformación política con Generative-AI

Que la propaganda ha sido siempre una herramienta utilizada para convencer a votantes, para utilizar en guerras, o para la geopolítica no es nada nuevo. Con el nacimiento de las redes sociales vimos cómo esta propaganda se movía a las redes sociales y cuando Anonymous hackeo al contratista de seguridad del gobierno de Estados Unidos HBGary, vimos cómo se contaba con grupos de psicólogos, e incluso caricaturistas, para controlar cuentas falsas en Facebook y difundir ideas en grupos sociales.

Figura 1: "CodeProject: NewsBender".

Desinformación política con Generative-AI

Con la llegada del BigData y el Cloud Computing, mezclado con las rede sociales, llegó el escándalo de Cambridge Analytica, donde se empezaron a crear Fake News, y modelos de Machine Learning para poder difundirles vía redes sociales las noticias falsas especialmente cocinadas para ellos. Y fue un gran escándalo.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de

Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Ahora, con la llegada de la Gen-AI, la posibilidad de poder crear noticias a la carta, con el tinte ideológico deseado, es tan sencillo cómo pedirle a un modelo LLM que reescriba una noticia, que sea con tono negativo o positivo, y que critique o apoye el contenido de una determinada noticia. 

Figura 3: Desinformación política con GenAI en Horizonte.(A partir del minuto 36:50)

De todo esto hablamos en la RootedCON, donde creamos para ello un medio digital que reescribía noticias tecnológicas, y las re-publicaba en un blog al que llamamos News Bender Daily. Y de eso hablé este jueves en el programa Horizonte junto con Iker Jiménez y Carmen Porter.

Figura 4: Pidiéndole que re-escriba una noticia en tono positivo

Generar contenido de forma automática usando LLMs es un juego de niños, y en el caso de nuestro proyecto lo que hemos hecho ha sido poder perfilar la ideología política de nuestros escritores y re-escribir las noticias de la Agencia EFE con el tinte político deseado, algo que es un juego de niños con cualquier LLM, como podéis ver en estos ejemplos con ChatGPT.

Figura 5: La noticia re-escrita por ChatGPT con tono favorable

Lo peor de todo esto es que, como vimos en el paper de "Combating Misinformation in the Age of LLMs:Opportunities and Challenges" para los seres humanos es mucho más difícil detectar las piezas de desinformación que vienen creadas por LLMs que las que son creadas por seres humanos intentando hacer un texto de desinformación con la mejor de sus intenciones.

Figura 6: A los humanos les cuesta más detectar la desinformación hecha por LLMs

Durante la presentación Iker Jiménez me preguntó si se podría hacer eso con Twitter, y ayer le envíe cómo de sencillo es hacer esto con ChatGPT, donde le pides que haga 20 tweets para criticar una supuesta entrevista de un presentador a una persona y difamarle como machista. Y si le pides 1.000 pues igual.

Figura 7: Pidiéndole los 20 mensajes para crearle la campaña a Tistimito

Para ChatGPT es un juego de niños, el resto es tener una red con cuentas de Twitter controladas, y publicar a través de cada una de ellas un mensaje, y ya tienes "la que se ha montado en las redes sociales" de todos los días. 

Figura 8: La campaña en Twitter contra Tistimito diseñada por ChatGPT

Y mientras que no entendamos cómo funciona Twitter (X) en la era del "Free Speech but Paid APIs" donde cada automatización de mensajes es dinero para la red social, vamos a seguir pensando que una ola en Twitter (X) es natural y no artificial.... ¿cómo en la primavera árabe? Pero no siempre es así...

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tutoriales para poner un Segundo Factor de Autenticación en tus identidades digitales

La verdad es que mola ver cómo el servicio Latch que creamos hace años ha crecido tanto. A punto de celebrar el millón de usuarios del mismo, seguimos evolucionándolo, y dentro de no mucho (¡ojo equipo que os vigilo el project plan!), tendrá nuevas capacidades que espero que pronto os pueda contar, basadas en una "IdeaLoca" de hace tiempo que vamos a poner en producción.

Figura 1: Tutoriales para poner un Segundo Factor de Autenticación en tus identidades digitales

Pero hoy no quería hablaros de eso, sino de cómo en Latch - que tiene nueva versión para usuarios de iOS y Android -, tienes disponibles todos los tutoriales de cómo integrar el Segundo Factor de Autenticación basado en Time One-Time Password en las principales plataformas digitales.

Figura 2: Tutoriales y asistentes en Latch para poner un 2FA en servicios digitales

Tienes esta información en la parte de Tutoriales, que tienes en la caja superior del interfaz cuando entras en la sección de TOTP, además de tener una serie de asistentes en la parte final. Pero si entras en la sección de tutoriales, verás como tienes el paso a paso descrito para configurar TOTP en Amazon, Wordpress, Facebook, GitHub, etc...

Figura 3: Tutoriales y asistentes en Latch para poner un 2FA en servicios digitales

Los tutoriales son paso a paso con capturas, y explicaciones que te van guiando para tener un 2FA que te fortifique todas y cada una de las cuentas que tengas en estos servicios digitales. 

Figura 4: Latch para Android en Google Play

Las nuevas versiones de Latch para iPhone y Latch para Android las tienes en los markets de apps, disponibles para descargar cuanto antes. 

Figura 5: Latch para iOS en App Store

En ellas verás también una modernización del estilo del interfaz, que después de tanto tiempo hemos querido hacerle una actualización a las nuevas tendencias de diseño de apps. Esperamos que os guste.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El "Leak del Login", el GDPR y el Esquema Nacional de Seguridad

No es la primera vez que hablo del "Leak del Login", pero como sorprendentemente me lo sigo encontrado en muchos sitios, voy a volver a hacer un pequeño artículo hoy sobre él, pero centrándome en su relación con el GDPR y el Esquema Nacional de Seguridad, pues es común encontrarlo en webs que han pasado la auditoría del ENS y tienen sus documentos de GDPR en regla. Voy a volver a hablar un poco de él, solo por hacer hincapié de la necesidad de que se eliminen las webs "verbose" que dan afiliación de personas a sus servicios de manera tan sencilla.

Figura 1: El "Leak del Login", el GDPR y el Esquema Nacional de Seguridad

Por supuesto, no soy experto en leyes y regulación, que para eso cuento con un equipo maravilloso, pero creo que erradicar estos bugs en las webs - sea un incumplimiento o no - es bueno para los clientes o usuarios de un servicio online, sea este el que sea.

 
"Leak del Login"

He hablado mucho sobre este tema, pero en resumen es tan sencillo como utilizar alguna de las capacidades de un servicio digital que se pueden utilizar sin haberse autenticado aún para saber si un usuario tiene o no cuenta en esa plataforma. Estas capacidades son tan comunes como:

• Proceso de iniciar sesión o "Login".
• Proceso de darse de alta o "Sign in".
• Proceso de recuerpar contraseña o "Forget Password".

Estos tres procesos, que pueden parecer asociados a entornos autenticados, no lo son, pues todos pueden ser invocados sin necesidad de estar autenticado. Es normal que el proceso de "Iniciar Sesión" se lance desde una sesión no autenticada, al igual que es normal que un proceso de "Registro" deba realizarse desde una cuenta aún no regristrada, y lo mismo con el proceso de "Recuperar la contraseña".

Gestión de errores "verbose"

Todos son procesos tienen en común que en un determinado momento deben comprobar la identidad de la persona, ya sea por medio de un DNIe, un número de teléfono, un usuario o un correo electrónico, que es muy común. Y en todos ellos, la gestión de errores, debe ser clave, ya que si alguien puede usar un DNIe, un número de teléfono, un nombre de usuario o un correo electrónico de una persona que no sea ella, podría saber si tiene afiliación con esa plataforma. Es decir, si tiene una cuenta en ese servicio digital, lo que es un problema de privacidad, que puede ser utilizado como una forma de ataque contra la seguridad de la persona.

Figura 2: Se informa al que introduce el e-mail de si la cuenta existe o no
en un proceso de Registro

Para que entendáis el proceso, es como si alguien llegara a la recepción de una empresa y comenzara a preguntar si es cliente suyo una persona, y luego otra, y luego una tercera, y así hasta el infinito. Lógicamente, esto es una aberración y seguro que ninguno de vosotros lo permitiría en su empresa. Dar la lista de personas que han usado los servicios es algo que no entra dentro de lo entendible. Si eres una plataforma de masajes, ¿dejarías que alguien preguntara si una persona es cliente o no te tu empresa? No.

Figura 3: Proceso de Recuperación de contraseña con Leak

Pero por desgracia si los mensajes de error en esos tres procesos no están controlados, es como si hicieras eso. Si cuando alguien pide iniciar sesión y el sitio dice "Esta cuenta no existe" cuando la cuenta no existe, y "Contraseña errónea" cuando la cuenta existe, pues ya has dado todas esa información en el Login. 

Figura 4: Cuando la cuenta existe, envía el email de recuperación.

Lo mismo para Recuperar la contraseña, si cuando pones un e-mail, un DNIe o un número de teléfono, la web dice "La cuenta no existe" cuando no se ha dado de alta y "Te hemos enviado un mensaje para que continúes con el proceso" si la cuenta existe, pues lo mismo. Y en el proceso de Registro lo mismo, si te dice "esta cuenta ya existe" entonces, más claro el agua.

Cómo no ser "verbose"

Resolver este bug consiste en construir la lógica de manera que no llegue nunca un mensaje que sirva para saber si la cuenta existe o no en ninguna zona no autenticada. Y las soluciones son sencillas y se hacen en comunicaciones privadas. Cada uno de forma diferente, por ejemplo:

• Login: Un mensaje de error de "Error en el usuario o la contraseña" en todas las situaciones en las que falle el proceso de login, no da ninguna información.

• Registrarse: Se pide un correo electrónico o un número de teléfono, y se le informa por la web que se le va a enviar un mensajes para continuar con el proceso. Si la cuenta existe se informa por mensaje que alguien quiere crearse una cuenta con su identificador, que si es él ya tiene cuenta y puede recuperar la contraseña si no la tiene. Si es una cuenta nueva que aún no existe, se le envía un enlace al dueño del identificado para que continúe con el proceso de registro. De esta forma solo el dueño del e-mail o del número de teléfono pueden tener la información.

Figura 5: Proceso sin leak de información en proceso de Registro

• Recuperar la contraseña: Con un mensaje de "Si esta cuenta existe, recibirá un mensaje en us buzón". Y se aplica la misma política que en el caso anterior. Se le envía el mensaje para recuperar la contraseña si existe y el enlace de darse de alta si la cuenta no existe. 

En los tres casos, se consigue que no se dé información de afiliación de una identidad a un servicio, y por lo tanto se mejora la privacidad y la seguridad del cliente o usuario de la plataforma.

Riesgos de conocer la afiliacion.

No somos nuevos en esto, y ya hemos visto que conocer la afiliación de una persona es un riesgo para esta persona a varios niveles:

• Privacidad Personal: En el caso del leak de datos de Ashley Madisson, las personas que estaban dadas de alta en esta plataforma sufrieron acoso público, extorsiones, y algunos llegaron a cometer suicidio o ser despedidos de sus puestos de trabajo. Si hablamos de webs de contactos con orientaciones sexuales concretas, puede ser un incumplimiento de la privacidad de las personas.

• Perfilado social: Por desgracia, los algoritmos de generación de insights con Machine Learning nos etiquetan en todo, desde reputación en Internet hasta Credit Scoring, hasta los anuncios que recibimos en la web. En casos como los de Cambridge Analytica, vimos que este perfilado de forma masiva podría llegar a utilizarse para difundir Fake News adaptadas que cambiaran el curso de votaciones políticas. A muchos se les ha olvidado ya.

Figura 6: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

• Ataques de Spear-Phishing: Si se tienen datos de que una persona tiene cuenta en una plataforma, hacerle un ataque dirigido de phishing para robarle credenciales, tokens OAuth o simplemente infectarle con malware es mucho más efectivo. Si recibes un phishing de un banco donde tienes cuenta es más fácil que piques.

• Ataques de Watering Hole: Si se sabe que una persona visita un servicio o una plataforma, se puede encontrar con que la web sea vulnerada para atacarle a él, o simplemente que aparezcan otros usuarios maliciosos dentro de la plataforma que le hagan una encerrona más imaginativa. Como encontrar al amor de tu vida dentro de esa plataforma, y que no sea más que un ataque elaborado.

Así que, filtrar el "Leak del Login", genera muchos problemas para la privacidad y seguridad de las personas que es lo que hay detrás de los usuarios y clientes y de un servicio online. Personas.

GDPR y Esquema Nacional de Seguridad

Dicho esto, el "Leak del Login" es un bug de privacidad. Un fallo. Algo que es muy sencillo de explotar, pero que es un fallo, ya que filtra la afiliación de personas a una web, y por tanto hay que eliminarlo. Sin embargo, he visto muchas webs de grandes empresas - y seguro que es fácil localizarlo en muchas apps, y muchos dominios - que no le prestan la menor atención a esto.

Figura 7: Leak del Login en WordPress.com

Incluso los componentes comunes de login de plataformas de e-Commerce, CMS, Blogs, redes sociales como Instagram o TikTok sufren este bug. La propia WordPress.com tiene este "Leak del Login", pero es fácil encontrarlo en Bancos con DNIs, en redes sociales, empresas de transportes, etcétera.

Figura 8: Libro de Ethical Hacking 2ª Edición  de 0xWord
escrito por Pablo González Pérez

Y por supuesto, con procesos de GDRP y de Esquema Nacional de Seguridad pasados, lo que me deja un poco perplejo. Creo que esto debería estar entre las pruebas de auditoría básica de cualquier servicio digital, al igual que la búsqueda de metadatos en todos los documentos ofimáticos publicados externamente. Así que, si haces auditorías de GDPR, de ENS o simplemente un Hacking Ético, por favor, reporta todos los "Leak del Login" a ver si somos capaces de mejorar un poco la privacidad de las personas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)