La encriptación en las contraseñas se les escapan hasta los más poderosos

30 octubre 2019




Cientos de sitios web creados con una herramienta de desarrollo web popular han expuesto datos confidenciales a cualquiera que tenga un navegador web. Incluyen el sitio web oficial de la campaña de Donald Trump, lo que potencialmente permite a los atacantes secuestrar el servidor de correo electrónico del sitio.


La herramienta de desarrollo Laravel con el lenguaje de PHP, incluye un "modo de depuración" que permite a los desarrolladores identificar errores y configuraciones erróneas antes de que los sitios web se activen. El problema es que muchos desarrolladores no pueden deshabilitar el modo de depuración después del despliegue, exponiendo detalles del sitio web de fondo como ubicaciones de bases de datos, contraseñas, claves secretas y otra información confidencial.



Investigadores de seguridad Bob Diachenko y Sebastien Kaul, encontraron 768 sitios web con sesiones activas de Laravel en total, y él estima del 10 al 20 por ciento que contienen configuraciones sensibles. La mayoría de los sitios web son para organizaciones medianas y pequeñas empresas, notificando a los propietarios de las exposiciones a partir del 11 de octubre.


Un subdominio del sitio web de la campaña de Trump contenía una configuración de servidor de correo expuesta en texto plano (sin encriptación), visible desde cualquier navegador web a través de la interfaz de depuración de Laravel. Es imposible para nosotros determinar cuándo se habilitó el modo de depuración, por lo que no sabemos cuánto tiempo estuvieron en riesgo los datos.


"Incluso 24 horas es lo suficientemente peligroso", dice Diachenko. "Teóricamente, cualquiera podría usar estas credenciales para hacerse pasar por la campaña de Trump y enviar correos electrónicos en nombre de email.donaldtrump.com ".


El equipo de DonaldJTrump.com respondió el 16 de octubre y soluciona el problema.


El FBI, la Seguridad Nacional y la Oficina del Director de Inteligencia Nacional se coordinan para mitigar el riesgo de operaciones de influencia cibernética dirigidas a elecciones estadounidenses y proporcionar campañas presidenciales con charlas defensivas.


Ver más sobre el tweet

Víctor Gil

Writer at @SwitchTecno

Sigue leyendo


Image message

Mantente al día con las noticias