1. Introducción

En el mundo de la seguridad informática, los pequeños descuidos pueden convertirse en grandes brechas de seguridad. Recientemente, encontré una vulnerabilidad crítica en una plataforma de formación bastante conocida a nivel mundial, relacionada con la indexación de certificados en Google y la exposición de datos sensibles de los alumnos (email, teléfono,…).

2. El primer paso: Google Dorking

Para empezar mi investigación, utilicé una técnica conocida como Google Dorking, que permite buscar información específica dentro de una web aprovechando las capacidades del buscador. Al ejecutar la consulta:

site:4geeks.com filetype:pdf

Me sorprendió encontrar más de 200 certificados de alumnos indexados en los resultados. Cada certificado contenía información privada que, idealmente, no debería estar accesible públicamente.

3. La visualización de los certificados

Al hacer clic en el primer resultado, se abrió una previsualización del certificado en formato PDF. Esto por sí solo ya representaba un problema, pues estos documentos no deberían estar accesibles de manera tan sencilla desde el buscador. Además, en la parte inferior del documento, encontré la URL completa del certificado, como:

https://certificate.breatheco.de/737XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Esta URL llevaba a una página que validaba el certificado, mostrando información del alumno como su nombre, las horas de formación, la fecha de emisión y opciones para compartirlo en redes o descargarlo en PDF.

4. El hallazgo clave en el código fuente

Al inspeccionar el código fuente de la página, encontré un bloque de datos estructurados en formato JSON. En esta sección aparecían detalles aún más sensibles, incluyendo el ID de usuario, Nombre, Apellidos, Email, Teléfono, datos relacionados con la academia y la especialidad del alumno.

5. Conclusión

Este tipo de exposición de información podría generar problemas graves en términos de privacidad y protección de datos personales, por suerte, en este caso he sido yo quien ha descubierto esta vulnerabilidad, y el equipo de la academia solucionó el problema rápidamente. Pero la vulnerabilidad llevaba varios años ahí y cualquiera podía obtener los datos de los alumnos.

Con un simple Script, se podrían haber extraido las URL de muchos certificados (primero los más de 200 que google tiene indexados, y luego en Linkedin filtrando por certificaciones, seguro hay muchísimos más usuarios con el certificado en su perfil). Luego el script iría accediendo a todas las URL una por una y exfiltrando la información de cada perfil, terminando en la creación de un documento con una base de datos de la información de todos los alumnos. (Muy valoradas en los foros de Hacking).