Exprimiendo tu personalidad con Badoo (Y algo de Ingenieria Social)

Exprimiendo tu personalidad con Badoo (Y algo de Ingenieria Social) Recientemente vengo investigando un poco mas sobre temas de Information Gathering (Recopilación de Información) usando una de las herramientas de las cuales ya hemos hablado en ciertas publicaciones como la de Google Hacking y también la poderosa Ingeniería Social podemos darnos cuenta que se puede obtener gran cantidad de información y muchos de los usuarios de la red no son conscientes de ello. Esta informacion puede ser usada por diferentes tipos de personas desde personas con malas intenciones para hacernos algun daño hasta por investigadores o algun personal de RRHH de alguna empresa a la que queramos postular dispuesto a investigarnos por completo antes de una entrevista laboral.




Navegando por Internet y por la PlayStore de Google encontré que Badoo es una de las redes sociales mas grandes (Mas de 5,000,000 de inscritos) y ademas mas libres para conocer gente (Osea todos inicialmente desconocidos para ti) Supuse que seria un gran lugar en donde poder encontrar muchísima información.



Lo primero fue verificar el archivo robots.txt de la pagina para saber que es lo que indexa o no indexa el sitio



Como podemos ver muchos de los robots utilizados ocultan prácticamente lo mismo, sin embargo no ocultan nuestros propios perfiles haciéndolos libres para cualquier Ciberacosador con pequeños conocimientos de informática llegar hacia tu perfil y exprimir de personalidad con tan solo un teclado y un ratón. 

Inicialmente consultaremos perfiles usando algunos de los parámetros del GoogleHacking en este caso buscare perfiles de hombres/mujeres que viven en Lima Perú






Como pueden ver entre ambos tipos de búsqueda podemos obtener cerca de 800,000 resultados entre hombres y mujeres de cualquier edad y que viven en Lima, Perú. En muchos de los casos, estos son los mas peligrosos, muchos se registran con su nombre completo sin saber que con una simple búsqueda se pudo obtener toda esa información. El dork usado se basa en el formato de presentación de cada uno de los perfiles de esta popular red social. "Nombre", "Genero", "Edad"  Ciudad, Pais. 




Dork Usado : 

site:badoo.com intitle:Lima, Perú intitle:Mujer

Haremos un primer ejemplo y veamos que podemos obtener ingresando al perfil de uno/a de ellos :



En este caso es una mujer de 28 años en la cual publica una sola foto sin embargo mediante el método por el que hemos ingresado podemos leer los mensajes que le dejan siendo estos públicos, vamos a enfocarnos en el primer mensaje.


Como podemos ver este mensaje es personal y solo fue enviado a la persona dueña del perfil, sin embargo podemos verla y no solo eso sino que tambien esta persona deja su numero telefonico de contacto y RPM con lo cual con un poco de Ingeniera Social se podrían obtener muchos mas datos.






Usando un poco mas de información proporcionada por el perfil de esta chica de 28 años se pueden obtener muchos mas datos.





Nos hemos adelantado y sin mayor información que la proporcionada en esta red social pudimos obtener que es de profesion enfermera y tambien donde trabaja No solo eso sino que tambien su numero telefónico y de celular. 

En este primer ejemplo pudimos ver como haciendo una búsqueda logramos obtener el perfil de una persona y pasandonos la seguridad de los mensajes internos de esta red social pudimos ver como otros perfiles de personas dejaban su información personal publicada en la red, por lo que podemos concluir que Badoo INDEXA TODO  lo que se comenta, publica, coloca, etc

Vamos mas a fondo y veamos un segundo ejemplo en esta ocasión seguimos en nuestro pais sin embargo vamos a buscar el perfil de un hombre filtramos nuestro dork para que nos muestre perfiles con nombre y apellido.







Como podemos ver al momento de ingresar al perfil nos aparecen algunas fotos ocultas lo que para poder verlas necesitamos registrarnos




Sin embargo podemos pasar esta seguridad agregando la ruta /photos en cada perfil no solo eso sino que también podemos ver los comentarios de cada uno de ellos sin estar totalmente registrados.

badoo.com/iddelperfil/photos





Podemos concluir que podemos saltar la seguridad de registro no solo para ver todas las fotos de los usuarios registrados sino también para ver los comentarios de cada uno de ellos.

Lo mas impresionante que se pudo ver es que muchas de estas fotos no borran los metadatos del todo por lo que si hemos cargado una foto con información suficiente como hora/fecha/localizacion del lugar en donde se tomo la foto puede ser muy peligroso.

Ejemplo 3 :

Creamos un perfil cualquiera y subimos una foto asegurándonos que tenga toda la metadata posible veamos como como es que se veria nuestra foto en esta popular red social




Vemos que Badoo le aplica un filtro especial a las fotos que subimos colocándole una franja con el logo de la marca vemos que pasa si analizamos el codigo fuente de nuestro falso perfil 



Podemos obtener las imágenes subidas y sin filttro con todos les meta datos cargados anteriormente 


Se han omitido algunos metodos de extracción de metadatos, sin embargo el resultado es el mismo usando la herramienta perfecta para este tipo de tareas como Foca Pro (Pueden adquirir el libro dedicado a esta herramienta en nuestra tienda) podemos obtener los metadatos de la geolocalizacion de donde fue tomada la foto.




Son muchos los perfiles que podemos encontrar en esta red social y debido a la información publicada e indexada de Badoo podemos llegar a obtener muchos mas datos de los creemos con solo el Nombre



Se podría programar un plugin incluso que automaticamente encuentre sus perfiles en otras redes sociales usando lo minimo, su nombre y edad. Aqui tenemos el perfil de esta misma chica en Facebook. Por seguridad no vamos revelar los metodos pero se sabe que trabaja en el Banco Interbank, Estudia Psicologia en una Universidad Particular de nuestro pais



Incluso se pueden obtener datos muy personales, en un enlace publicado y buscando los datos "publicos" en esta red social se obtuvo una lista publicada en un blog donde indican datos familiares de todas las generaciones de esta familia




Se pueden usar ciertos términos adicionales en la busqueda de perfiles para ser mas exactos como 
"Mi telefono es"

site:badoo.com intitle:hombre "Lima, Perú" "Telefono es"



o usar muchos términos adicionales mas y darnos cuenta que todo absolutamente todo lo que publicamos en Internet de una u otra manera es publico.


En conclusión podemos ver que una red social tan grande como esta y como en muchas otras redes sociales es un peligro publicar nuestros datos personales en primer lugar porque colocamos información muy privada (Direcciones, Telefonos, Familiares, Localizaciones, etc) lo cual puede ser usada por personas mal intencionadas para chantajear, extorsionar, engañar, etc. En segundo lugar toda esta información tarde o temprano saldra a la luz pongamonos en el supuesto que un personal de RRHH se ponga a investigarnos antes de una entrevista laboral en tan solo unos minutos podría obtener muchos datos de nuestra personalidad tan solo usando como herramienta la internet, lo que a cualquier psicologo le tomaría dias.





Debemos ser conscientes de lo que se publica en internet ya que estamos exponiendo información personal muy importante, estamos exponiendo nuestras vidas.


Powered by Blogger.