Días atrás estaba leyendo cierta información en Internet sobre paneles web y me sorprendí con algunos problemas que son bastantes generalizados en ámbito de administración web. Igualmente, lo que voy a explicar en este artículo es una particularidad que tienen los paneles Cpanel a la hora de crear una nueva cuenta.
Específicamente, cuando se crea una cuenta con Cpanel y se especifican todos los datos que se requieren, este software mostrará un archivo con un resumen de los datos ingresados, entre los que están la IP del servidor, el nombre de usuario y la contraseña. En la siguiente imagen se puede ver el formulario completo:
Bien, hasta aquí no hay nada extraño, un software que especifica los datos de configuración es algo común. Pero lo curioso es que Cpanel guarda un archivo txt con esta información en el propio servidor. Generalmente un administrador debe borrar este archivo para que no sea accesible públicamente. Sin embargo un administrador descuidado puede olvidar realizar tal acción y es aquí donde comienza el problema.
Como todos ya saben Google indexa todo a su paso, por lo que este archivo en cuestión también será indexado en caso de que el administrador lo deje allí también. Es así que con una simple búsqueda utilizando el motor más afamado del mundo, se obtienen más de 10.000 archivos con sus respectivos nombres de usuario y contraseñas.
A continuación puede visualizarse algunos de los resultados de la búsqueda:
A continuación puede visualizarse algunos de los resultados de la búsqueda:
Además, si un administrador borró el archivo en algún momento, Google puede jugarle también una mala pasada, ya que muchas veces esta información queda accesible mediante caché, por lo que el sitio queda expuesto de todas formas. Para agregarle más notoriedad a este tema también en muchos de estos archivos se puede ver la secuencia de cambios de contraseñas y visualizar información de múltiples sitios que se encuentran bajo un mismo hosting. Éste último caso es más peligroso aún, es decir, en los casos donde el propio servicio de hosting no ha tenido en cuenta este problema, Google indexará todas las cuentas que se encuentran bajo ese mismo servidor por lo que la brecha es aún mayor.
Estos temas no deben ser tomados a la ligera por los administradores, ya que el acceso se puede lograr con una simple búsqueda. Se debe tener especial cuidado a la hora de gestionar un sitio web, y siempre tener en mente que todo lo que sea de carácter público en Internet, muy probablemente será indexado por los buscadores, especialmente Google. Esa información que por error fue expuesta, queda mucho tiempo en Internet debido al sistema de cacheo que poseen los buscadores. Por lo tanto, es imprescindible tener cuidado con la información que se manipula.
Fernando Catoira
No hay comentarios.:
Publicar un comentario