Usando Google para descubrir archivos no tan secretos en Dropbox

9 comentarios Facebook Twitter E-mail

10 Diciembre 2013

Guillermo Julián

Los robots de Google analizan toda la web continuamente en busca de enlaces para actualizar los registros del buscador. Pero hay veces que los propietarios de sitios web no quieren que se indexen esos enlaces, así que ponen ciertas restricciones en el archivo robots.txt. Por ejemplo, si eres Dropbox, no querrás que Google indexe todos los archivos que tus usuarios comparten a través de Internet.

Cuando un usuario comparte un archivo a través de Dropbox, la dirección es de la forma http://dropbox.com/sh/pongaAquíSuId, y por lo tanto en robots.txt pondremos Disallow: /sh/. Hasta aquí todo muy fácil: los robots de Google llegan y leen el archivo. Si se encuentran con algún enlace hacia dropbox.com/sh/algo, sólo se queda con la dirección y con el título, que se guardan en la base de datos de Google. El robot no lee el contenido del fichero.

Un vistazo a…

'Sgroogled.com': cuando MICROSOFT lanzaba anuncios ANTI-GOOGLE

Normalmente no podríamos acceder al contenido de esos ficheros desde Google. Sin embargo, según cuenta Chema Alonso gracias al descubrimiento de Alan Brian, sí que quedan algunos rastros en el buscador que se pueden recuperar usando técnicas de hacking con buscadores. La idea es sencilla: simplemente le decimos a Google que nos muestre todos los resultados que tenga indexados en dropbox.com/sh con la consulta site:dropbox.com/sh.

Añadiendo términos de búsqueda podemos encontrar cosas interesantes, como listas de usuarios y contraseñas, algún recibo bancario y documentos "secretos". En mi caso, he llegado a encontrar un guión de cine entre esos archivos. Chema Alonso comentaba que recuperó las diapositivas que había perdido de una de sus charlas. Una mina.

¿Cómo resolver este problema? La teoría es fácil: sólo hay que poner una etiqueta en el contenido de la página para que Google ni siquiera guarde el título ni la URL. Pero como por las reglas de robots.txt los robots no van a analizar el contenido de la página y no van a encontrar la etiqueta noindex. Es un fallo de diseño muy confuso en la forma de indexar de Google.

Eso sí, esto tampoco se puede considerar un fallo de privacidad de Dropbox. Google ha encontrado la URL de estos archivos porque alguien la ha puesto en algún momento en Internet, y los robots de la gran G han llegado a ella. Para lo que sí debería servir este hallazgo es para recordaros que la seguridad por oscuridad, el confiar en que "nunca nadie encontrará esto" no es una buena estrategia, y que debéis evitar en la medida de lo posible compartir cosas sin control por Internet.

Vía | Un informático en el lado del mal

Temas

Comentarios cerrados

Ver 9 comentarios

9 comentarios

brillante

asdfgh2

* *

10 Dic. 2013, 21:34

1

Entonces si es un fallo de la privacidad de Dropbox. Si los bots de Google han leído en los Robotos.txt de Dropbox que pueden acceder al menos al nombre y la URL del archivo es que el Robot.txt se lo ha permitido. Porque si no lo tengo entendió mal los robos.txt sirven para decirle a los bots de Google o al de cualquier buscador a que contenido y a que no pueden acceder.
Ademas un empresa como Dropbox que ella misma se considera la suiza de internet deberían tener los directorios protegidos por contraseña.
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 9 votos, karma: 108 Vota positivo Vota negativo
Respondiendo a asdfgh2

brillante

JuanAR

* *

10 Dic. 2013, 22:00

3

Se puede compartir con contraseña pidiendo cuenta de usuario. El fallo aquí es de alguien que lo ha compartido como público y además ha puesto el enlace en algún sitio público rastreable por buscadores, una red social por ejemplo. No veo fallo de privacidad alguno.
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 7 votos, karma: 103 Vota positivo Vota negativo
Respondiendo a asdfgh2

John Appleseed

* *

11 Dic. 2013, 4:19

7

El tema es que Dropbox no sólo indica en robots.txt que los directorios /s y /sh están prohibidos, sino que además en cada archivo por separado se lo indica con la etiqueta noindex.
¿Qué pasa? Que Google indexea las URL al no considerarlas archivos, e ignora la etiqueta noindex porque están prohibidos. ¡Esto es una clara contradicción! Una dirección no la considera prohibida por lo tanto la indexea, pero después a la hora de leerla si que la considera prohibida por lo tanto no lee la etiqueta noindex y termina indexando la página.
¡Entonces el problema es justo ese! El indicarle en robots.txt que un directorio está prohibido significa que Google lo indexará a pesar de que sus archivos contengan la etiqueta noindex. Por ironías de la vida lo que hace falta es dejar de prohibirle en robots.txt para que deje de indexar...
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 1 voto, karma: 20 Vota positivo Vota negativo
Respondiendo a asdfgh2

davidverapinero

* *

10 Dic. 2013, 23:31

4

No, es un "fallo" de Google, porque el robot.txt lo que le dice es esto no quiero que lo almacenes, y lo que hace Google es almacenar y por tanto indexar
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 1 voto, karma: -2 Vota positivo Vota negativo
Respondiendo a davidverapinero

asdfgh2

* *

11 Dic. 2013, 0:47

5

Creo que esto lo dice la metaetiqueta. Pero no estoy seguro..
Según la pagina de soporte de Google la función del robot.txt es esta: "El archivo robots.txt es como una señal electrónica de "Prohibido el paso". Le indica a Googlebot y a otros rastreadores qué archivos y directorios del servidor no deberían rastrearse." Vamos le dice a los bots donde no puede acceder.
Y según la misma pagina la metaetiquetas dice esto: "Cuando vemos una metaetiqueta "noindex" en una página, Google elimina la página por completo de la página de resultados de búsqueda, incluso en el caso de que otras páginas enlacen con esta. Si el contenido se encuentra en nuestro índice, lo eliminaremos cuando finalice el próximo rastreo del mismo."
Aun así también dice: "incluso si utilizas un archivo robots.txt para impedir que las arañas rastreen contenido de tu sitio, Google podría descubrir ese contenido de otras formas y añadirlo al índice. Por ejemplo, es posible que otros sitios sigan incluyendo enlaces a ese sitio. Como consecuencia, la URL de la página y otros datos disponibles públicamente, como el texto de anclaje en enlaces que dirigen al sitio o el título de Open Directory Project podrían aparecer en los resultados de búsqueda de Google. Además, a pesar de que todos los robots acreditados respetarán las directivas del archivo robots.txt, algunos pueden interpretarlas de forma diferente. Sin embargo, el archivo robots.txt no es obligatorio y algunos emisores de spam y otros malhechores pueden ignorarlo."
Vamos seguro que es eso al ser datos públicos los bots de Google "se saltan" los robots.txt (porque aun así no pueden acceder al contenido de la pagina) y indexar la URL y el nombre. Y por lo tanto buscando acuradamente usando el "site:pagina" y yéndose a la pagina 10 o algo así te encuentras con álbumes y informacion de personas, obviamente públicos.
Lo ha dicho otro usuario, no se salva nadie: Ni Dropbox, ni Drive, ni Skydrive. Puedes hacer la prueba tu mismo: "Site:Skydrive.live.com" o "Site:Drive.google.com" (tienes que estar logeado para acceder a lo documentos de otros) Lo he probado con Google.com, Yahoo.com y Bing.com y es mas de lo mismo.
https://support.google.com/webmasters/answer/93708?hl=es
Así que la culpa es un poco de todos. Gooogle, Yahoo, Bing por indexar, Dropbox y otros servicios de almacenamiento por no poner contraseña en los directorios (aunque tengo dudas de si es posible hacer esto y poder compartir los archivos) y los usuarios por tener en álbumes públicos con cantidades impresionantes de datos que son privados.
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 0 votos, karma: 8 Vota positivo Vota negativo
daniel.martindomenech

* *

10 Dic. 2013, 21:45

2

Pero esto no es ninguna novedad. De hecho hay ya unos pocos libros que hablan de como "hackear" con Google.
De hecho, no se salva tampoco Google Drive.
site:drive(dot)google(dot)com password
#### Obvio cambiar los dot por . ####
Con esa busqueda, podemos llegar a cosas como: ITIL - Google Drive
Con contenidos como:
These books are given to us by TSO for training and trainer development and are not
intended to be distributed outside Quint Wellington Redwood. The password is traceable
to Quint, so it is very important that these copies will not be distributed to non-Quint
employees.
Keep this password and the books confidential, for questions: practicedeskXXXXX
The password to open the books is: "XXXXX"
Obviamente no pongo la clave por si se me pudiera amonestar, pero ahí está.
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 3 votos, karma: 20 Vota positivo Vota negativo
Usuario desactivado

11 Dic. 2013, 3:25

6

pues yo he encontrado de todo fotos, pasa hasta pornosotros aun tengo la esperanza de encontra un monedero con bitcoins :P
Menú
Respondiendo a Usuario desactivado

antiusuariostroll

* *

12 Dic. 2013, 6:48

9

No creo que los que usan bitcoin sea tan lelos de dejar al descubierto "material" importante.
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 0 votos, karma: 8 Vota positivo Vota negativo
charlie_johnny

* *

12 Dic. 2013, 2:44

8

Di click a un link al azar y me topo con un tipo enseñando las pelotas...
Menú
- Reportar (spam, insultos...)
- Copiar enlace a este comentario
- 0 votos, karma: 8 Vota positivo Vota negativo

Temas de interés

9 comentarios

RECIBE "Xatakaletter", NUESTRA NEWSLETTER SEMANAL

Explora en nuestros medios