¿Quién ha visitado tu perfil… idiota?

Sí amigos, las redes sociales, aquellos lugares donde el ejercicio ególatra y de exhibicionismo llega al culmen en la red.

A todos nos gusta saber que hay gente que nos mira continuamente, nos gusta sabernos centro de las miradas de nuestros amigos y conocidos y pensar que nuestra vida forma parte importante en la curiosidad de los demás, tal y como ocurre con el famoseo televisivo y revistas de cotilleos  pero a pequeña escala, en nuestro pequeño mundo. Nos gusta sentirnos importantes y eso es lo que nos pierde.

Habréis leído mil veces que el factor humano es el más fácil de atacar, que es el eslabón más frágil en la cadena de la seguridad y hoy os quiero dar una idea de lo que significa esto.

A través de un tweet de Hackplayers que enlaza un artículo muy interesante me entero del robo de credenciales  a gran escala de la red social tuenti. Una red plagada de adolescente en la que las prácticas básicas de privacidad y seguridad brillan por su ausencia, supongo que por que a esta edad el afán de exibicionismo es mayor, ya sabeis, el rollo ese de ser el popular de la clase y ligarte a la cheerleader.

Una forma en la que podría medirse esta popularidad es la cantidad de conocidos que visitan tu perfil. Cada persona que visita tu perfil es un punto a tu autoestima, así que cuando alguien nos oferta la posibilidad de conocer esos “puntos” de popularidad nos lanzamos como locos a dar cualquier cosa a cambio de eso, incluso nuestro usuario y contraseña a alguien que no conocemos.

En el artículo de segur-info se ven unas imágenes con un listado de cuentas y una URL convenientemente oculta parcialmente. A pesar de esto, no lleva mucho tiempo de investigación y un poco de phishtank para dar con las páginas reales y llegar a donde han llegado también ellos: al listado de cuentas vulneradas.

En cada enlace tenemos el usuario y la contraseña de esta persona.

Podemos también encontrar algunas curiosidades en este listado, como gente que ha intentado algunas inyecciones SQL sin mucho éxito (para hacer un bypass a un login que no te llevará a ningún sitio además de no existir una base de datos en la página…) o algunos con insultos al phisher tan creativos como “Esto es ilegal” con contraseña “Estais denunciados” o “hijodeputa” con contraseña “ihjodeputa” o la cuenta “tevoyadenunciar@hijodeputa”, que más que asustar al individuo que está detrás de esta página lo harán sonreír.

Intento de inyección SQL en una página sin base de datos

Malhablado Number one

Malhablado Number two

Police officer user

A día de hoy* este listado contiene la gran cantidad de 3563 cuentas, las cuales, suponiendo que al menos el 75% de ellas son reales y el 25% son pruebas de hacking al delincuente y otros insultos, nos quedamos con un listado de aproximadamente 2770 cuentas de ingenuos que quieren ser los populares en su pandilla.

Y todo esto sin grandes esfuerzos, un hosting gratuíto, conocimientos básicos de html, conocimientos escasos de seguridad (dejando abierto el listado del directorio con las cuentas) y un montón de usuarios generosos de la red social más utilizada por los adolescentes españoles.

Desde segur-info.ar ya han procedido a la denuncia de estos dominios y yo por mi parte también lo he hecho.

Tardarán más o menos en cerrarlos, pero ya dará igual, el daño está hecho y todos estas cuentas vulneradas. Este tipo de estafas son también realizadas con mucho éxito en cuentas de messenger con la excusa de saber “quién te tiene bloqueado” en el messenger y el que todavía siguen picando gente de todas las edades y ámbitos.

Como consejo básico del día: ¡NUNCA DEIS VUESTRA CONTRASEÑA EN POS DEL NARCISISMO, COPÓN!

* Editado: escasas horas después de empezar a escribir este artículo la persona que tiene este dominio ha vaciado el listado de cuentas y encima hay otras personas de cachondeo como vemos en el último comentario.

¿Cachondeos a mi? ¿A que te envío SPAM?

About these ads
    • Lis
    • 6/02/11

    Lo que me gusta de estas cosas es ver la mierda de claves que escoge la gente xD

    • Rosa
    • 6/02/11

    Muy bueno el artículo y muy interesante. ¿Con qué objeto se vulnera esas cuentas? ¿Sólo el de putear?

    • Si te digo la verdad ahora mismo no se me ocurre el objetivo real de este phishing de cuentas de tuenti.

      Es probable que el chaval esté en algún foro de hackers que pelean por ser los mas molones entre ellos y enseñarle a tus compis de internet que tienes una base de datos con 5000 o 6000 cuentas de tuenti te da unos extra points en la comunidad, a pesar de que el ataque no tiene ninguna complejidad técnica.

      También ten en cuenta un gran porcentaje de esas cuentas robadas son de correos hotmail, gmail y yahoo y es más que probable que tengan las mismas contraseñas para un servicio y otro.

      Tan solo probar de uno en uno a entrar en su correo con la misma contraseña que usan en el tuenti y te garantizo que el 40% o más estan vendidos.

    • Lis
    • 7/02/11

    lis@xerxes:~# wget -r -np http://tuentivisitas.—–.com/cuentas

    Por tener una pequeña base de datos, no sabes cuándo te puede venir bien :P

  1. @ilis no eres el primero en pensarlo, aunque yo lo usé sin el -np

    Por cierto, tu eres uno de esos sysadmins que le pones nombres mitológicos a los host de tu red ¿Xerxes? ¿tienes algún otro host que se llame Leonidas? jejeje.

    • Lis
    • 7/02/11

    Una vez descargados me he hecho un pequeño script guarro y se me ha ocurrido grepear un poco la salida para ver si alguien tiene su número de teléfono como clave…
    lis@xerxes:~# sh prueba.sh | cut -f2 | grep -e ” [69]……..” | wc -l
    30

    Joer con la peña.

    • Sí, algún que otro hay con su número de teléfono como contraseña, también puedes probar a buscar DNIs como contraseña, que más de uno hay.

      El script que hice yo fue para ver cuantos de los archivos descargados se correspondían con direcciones de correo reales y no eran simples insultos al administrador con un:

      # ls -l | grep -e “\w+@\w+\.\w+” | wc -l

      Cuando tienes filtrados los correos reales de los insultos e injecciones y movidos a una carpeta a parte puedes filtrar los que tengan números de teléfono o DNIs por ejemplo y a utilizar ingeniería social u ofrecerle enciclopedias con SPAM telefónico, jeje.

  1. No trackbacks yet.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: