Hace tres años se descubrió que existía un modelo de
webcams que transmitía por Internet sin ningún tipo de seguridad.
¿Cómo se consiguieron IPs de todo el mundo?
- Pues a través de Google, que había estado indexando todas esas cámaras de vigilancia abiertas sin que nadie lo supiera.
- Un artículo de CSO Online, replicado por Gizmodo, ha puesto de manifiesto lo fácil que es encontrar en Google los datos personales de muchas personas que tienen un disco duro con acceso a Internet sin seguridad o un router abierto. Fotos NSFW, emails, fotocopias del pasaporte, contraseñas o la declaración de la renta... básicamente todo lo que meteríamos en un disco duro. ¿Qué está pasando en estos casos?
Dos opciones: bien es el disco duro de estas personas que
está configurado para funcionar como una nube personal sin ningún tipo de
seguridad, o bien el router de su casa tiene activado el acceso FTP sin
contraseña y sin que el firewall del sistema consiga evitar a los intrusos.
A partir de aquí, son las arañas web de Google las que
encuentran la dirección e indexan los archivos, dando acceso rápido a todo el
que quiera través de una simple búsqueda. ¿Qué hay que buscar para
encontrarlos? Por ejemplo, algo así:
- allinurl:ftp:// rima-tde.net filetype:xls | doc | docx | jpg | jpeg | pdf
Es decir: todos los servicios ftp dentro la red IP de
Telefónica que contengan archivos Excel, Word, JPG o PDF. Se trata de ir
buscando en distinos hosts, el de Telefónica es un ejemplo.
¿Cómo sé que mi disco duro no está en Google?
Puedes buscarte en Google. Averigua tu hostname y abre esta
dirección:
- ftp://[hostname]
Si tienes una conexión dinámica y con el router de la
operadora, no vas a encontrar nada ahí. Si en cambio tienes un router comprado
por ti y quieres saber si tienes activado el acceso FTP sin querer, puedes
entrar al admin de configuración y comprobarlo.
Eso en cuanto al router. Por otro lado, los modelos de
disco duro con acceso a Internet que CSO se encontró abiertos en Google fueron:
- Seagate Personal Cloud
- Seagate Business NAS
- Western Digital My Cloud
- LaCie CloudBox