Usando Google para descubrir archivos no tan secretos en Dropbox

Comentarios 9 Me gusta 2 Los robots de Google analizan toda la web continuamente en busca de enlaces para actualizar los registros del buscador. Pero hay veces que los propietarios de sitios web no quieren que se indexen esos enlaces, as que ponen ciertas restricciones en el archivo robots.txt. Por ejemplo, si eresDropbox, no querrs que Google indexe todos los archivos que tus usuarios comparten a travs de Internet. Cuando un usuario comparte un archivo a travs de Dropbox, la direccin es de la formahttp://dropbox.com/sh/pongaAquSuId, y por lo tanto en robots.txt pondremos Disallow: /sh/. Hasta aqu todo muy fcil: los robots de Google llegan y leen el archivo. Si se encuentran con algn enlace hacia dropbox.com/sh/algo, slo se queda con la direccin y con el ttulo, que se guardan en la base de datos de Google. El robot no lee el contenido del fichero. Normalmente no podramos acceder al contenido de esos ficheros desde Google. Sin embargo, segn cuenta Chema Alonso gracias al descubrimiento de Alan Brian, s que quedan algunos rastros en el buscador que se pueden recuperar usando tcnicas de hacking con buscadores. La idea es sencilla: simplemente le decimos a Google que nos

muestre todos los resultados que tenga indexados endropbox.com/sh con la consulta site:dropbox.com/sh. Aadiendo trminos de bsqueda podemos encontrar cosas interesantes, como listas de usuarios y contraseas, algn recibo bancario y documentos secretos. En mi caso, he llegado a encontrar un guin de cine entre esos archivos. Chema Alonso comentaba que recuper las diapositivas que haba perdido de una de sus charlas. Una mina. Cmo resolver este problema? La teora es fcil: slo hay que poner una etiqueta en el contenido de la pgina para que Google ni siquiera guarde el ttulo ni la URL. Pero como por las reglas de robots.txtlos robots no van a analizar el contenido de la pgina y no van a encontrar la etiqueta noindex. Es un fallo de diseo muy confuso en la forma de indexar de Google. Eso s, esto tampoco se puede considerar un fallo de privacidad de Dropbox. Google ha encontrado la URL de estos archivos porque alguien la ha puesto en algn momento en Internet, y los robots de la gran G han llegado a ella. Para lo que s debera servir este hallazgo es para recordaros que la seguridad por oscuridad, el confiar en que nunca nadie encontrar esto no es una buena estrategia, y que debis evitar en la medida de lo posible compartir cosas sin control por Internet. Va | Un informtico en el lado del mal