Hace 16 años | Por --41694-- a google.com
Publicado hace 16 años por --41694-- a google.com

Si se busca en Google la dirección que he puesto en la noticia, se obtiene una larga lista de contraseñas de FTP. Atención al bug, es muy grave, y es sólo una pequeña muestra del peligro de nuestros datos personales en manos de una empresa. Ya lo he reportado, pero creo que es interesante que se sepa.

Comentarios

cat

¿El error no es de Youtube por almacenar esos datos y dejar que Google los indexe? Parece mentira que habiendo comprado Google a Youtube no vigilen estas cosas...

D

y como coño han llegado esos datos hasta youtube?

D

Los datos que Google obtiene de nosotros... y se les olvida ocultarlo. Qué chapuza de los futuros Micro$oft.

natrix

#61 Un "bicho", para ser más precisos

cat

#8 Fíjate que en algunos resultados de esa misma búsqueda te encuentras cosas como esa: 1 clicks from _file: //C:Documents_ and SettingsckDesktop ...

Por lo visto YouTube registra todos los lugares desde los que se reproducen sus vídeos. Pero las contraseñas... manda huevos.

benjami

El FTP es terrible, yo ni lo instalo. SSH y SCP forever!

D

He estado probando contraseñas y muchas no funcionan pero algunas sí y creo que ya las han utilizado:
ftp://ftp.agnesfaitsabo.com/Web/HACKED.html
ftp://ftp.retardtv.nl/HACKED.html
ftp://ftp.s95.tku.edu.tw/HACKED.html
ftp://ms2.twcat.edu.tw/Cracked.html
.....

ny80

#73 Sigues sin entenderlo. El problema no es que los navegadores muestren una página de Google con passwords. Obviamente todos los navegadores mostrarán lo que les dé Google o el servidor web al que accedas, sean passwords u otra cosa. Por eso no tiene sentido la captura que enviaste en #59. Todos los navegadores (sea Ópera u otro) van a mostrar esos passwords, claro.

Cuando decimos que son los navegadores los culpables (excepto Ópera) es porque son los que envían la URL completa con el password a los objetos Flash de YouTube cuando estos se encuentran embebidos en páginas a las que se ha accedido mediante FTP. Estos objetos embebidos de YouTube son los que envían estas URL de FTP al servidor de YouTube.

Y una vez que esta información está asociada a los vídeos de YouTube, Google indexa todas esas direcciones, incluídas las que tienen passwords de FTPs.

Por último, al hacer esa búsqueda de Google, todos los navegadores (incluído Ópera, pues lo único que hace es mostrar lo que le envía Google) muestran esos passwords, pero el problema no está en este último paso (en el que como bien dices "los navegadores muestran lo que Google les da sin proteger") sino en el primero, en el que algún navegador envió el password a YouTube cuando alguien accedió desde su FTP. No es culpa del protocolo FTP, como tu dices.

natrix

#59 El fallo no es al presentar los datos de la búsqueda (tu captura); sino del envío del vídeo desde un navegador mediante flash por ftp. Que el único que no manda la contraseña es opera.

(Si falta precisión, sigo aclarando que mis conocimientos de informática son muy limitados)

y

joder, pues si que la hemos cagao, yo me he leido las 25 pag que salen y al menos no salen datos de 3 videos que tengo subidos a youtube.

El tema es que creo que lo mejor no es proclamar esto a los 7 mares, sino al interesado principal que es google y youtube a la vez, no??

Puede haber personas que por el simple hecho de ver datos propios publicados por tí, tb cojas parte del cotarro, no se, es una duda que me surje.

salu2

jotape

#45 Flash, seguro. Ese programa es Satán hecho software lol

jaz1

#33 "Muchisimas Gracias" kiss

ny80

#70 Si, creo que tienes razón. No es el referer, sino simplemente que Flash tiene acceso a la URL de la página actual en la que está embebido el objeto (dirección que manda en el momento de hacer la petición del vídeo), y da la casualidad de que en el caso de ser la URL de un FTP, se incluye también el usuario y password, ya que es la forma de acceder a una página en un FTP desde un navegador: ftp://usuario:password@direccion/pagina

Esto debería arreglarse en todos los navegadores, de manera que no se manden contraseñas de FTP a ningún objeto embebido, ni Flash ni de ningún otro tipo, ya que a través de un objeto embebido esa información puede salir fuera de la página (como pasa en este caso, en el que esa información llega a los servidores de YouTube).

En cualquier caso, no creo que el usuario tenga la culpa de esto, como se ha dicho más arriba. El usuario tiene pleno derecho de hacer lo que le plazca en su FTP, y si quiere ejecutar una página desde el FTP pues que lo haga. El usuario no tiene por qué adivinar que su password se va a enviar a través de Flash sólo por acceder desde FTP. De hecho, hasta ahora nadie sabía que esto podía suceder. Qué manía con echar la culpa siempre al usuario.

ny80

No obstante, aunque la culpa la hayan tenido inicialmente los navegadores por enviar los passwords, no estaría de más que YouTube hiciera una modificación sencilla en su sitio web para que en la sección "Sites linking to this video", que es donde aparecen todos los passwords, se eliminase automáticamente la parte de la izquierda de la arroba en las direcciones FTP de forma que no se mostrase ningún password. Y después Google podría refrescar sus resultados de YouTube para eliminar de un plumazo todos los passwords que ahora se ven en la búsqueda.

sorrillo

#23 Pero es raro que la gente venga de un ftp, no ?

Es decir, cuantos enlaces a youtube puedes encontrar en ftps ?

D

¿Un "bug" es un fallo en cristiano?

Gracias, era una pregunta retórica.

sorrillo

#33 Si, funciona así.

Lo que vemos raro es que google obtenga esa información de ftps que no son suyos. Es decir, quien le hace llegar esa información ?

La teoría mas plausible es que son los navegadores. Si vienes de un ftp el navegador envía todos esos datos, incluida contraseña!, como referer al servidor web al que vas. Lo dicho, es una teoría.

Si fuera así la culpa sería del navegador, no de google que solo estaría mostrando un dato que no es confidencial (el referer no esta considerado como un dato sensible a nivel de seguridad, faltaría mas).

heffeque

Por las contraseñas que veo... parece que sí que es verdad que hay gente que usa la "123" hasta la "123456" lol Otros muy originales como "555555" y los hay que ponen su número de tlfno móvil lol lol lol

sorrillo

#53 Que perdido vas campeón. Leete los comentarios anda.

Te corrijo: Macromedia Flash libre ya

(hay substitutos libres, lo se, pero están en bragas)

Edito: si Opera no lo hace será que tampoco es cosa del flash, sino exclusivamente del navegador (aunque solo lo haga cuando usa Flash). A ver cuanto tardan los navegadores en arreglarlo, sera divertido ver cual es el primero y cual se equivoca tres veces antes de hacerlo bien.

Al-Khwarizmi

No seamos amarillistas, el error no es de Google para nada.

Google se limita a poner ahí de dónde ha venido la gente, es decir, el campo "referrer" de las peticiones al vídeo. Lo lógico es que no ande mirando si en ese campo hay información que debería ser protegida, eso es responsabilidad del navegador. Y lo que es una burrada es hacer un navegador que mande tus contraseñas de FTP en el campo referrer (por texto plano) a un servidor distinto del servidor de FTP (podría ser youtube o cualquier otro).

Hay muchos blogs, CMS's y otras webs que tienen sistemas parecidos para llevar cuenta de los referrers. El fallo se ha visto en youtube porque es muy grande y la probabilidad de que se dé el problema es mayor; pero seguro que puede pasar en muchas otras webs y, repito, el fallo es del navegador que usaron esas personas.

R

joder... vaya cagada pero de las gordas lol he probado un par y ya están "juankeadas" pero bien...

e

Yo estoy con # 13. Quizás hubiera sido mejor un poco más de discreción.

jaz1

no entiendo, porfi lo explicais para ignorantes!!!! gracias

jotape

#49 ¡plas, plas! Te lo dije lol

ny80

#55 Te ha quedao muy chulo el discurso :-P, pero como ya se ha dicho más arriba, el problema tampoco es de Flash, ya que lo único que hace es devolver el "referer" que le proporciona el navegador. El problema está en que la mayoría de navegadores, aunque pasan correctamente el "referer" sin contraseña a otras páginas web, cuando se trata de pasárselo a un objeto Flash, sí pasan la URL completa con usuario y contraseña, por lo que el fallo es del navegador, que no debería pasar esta información a Flash. El único que parece ser que lo hace bien y no pasa la contraseña es el Ópera.

#59 Creo que no te has enterado muy bien. Cuando dicen que Ópera no devuelve los passwords no se están refieriendo a los resultados de Google. Obviamente en todos los navegadores el contenido de una página es el mismo.

benjami

#67, te recomiendo un diccionario HOYGAN > spanish, y será más fácil leerte.

pekepowah

Que barbaridad... lo peor de todo esto es que al publicitar esto, se va a llenar de "juankers" todos orgullosos de joder el trabajo (webs) de otros. Por dios, he hechado un ojo y hay hasta páginas de universidades joder... esto no puede acabar bien.

D

La culpa será de los inútiles que cliquean desde un área privada (y usan el navegador como cliente FTP) no de Google por indexar eso...

bac

#36

El vídeo que citas, y en el que se explica el problema, es del día 17 de Junio. Es decir, de hace 6 días. ¡Y el problema sigue allí!

Parece que ni denunciándolo en público lo arreglan... :-?

sorrillo

#30 Ni de coña. Igual que defiendes mi comentario #28 seria aplicable a lo que hace google, mostrar públicamente un error de los navegadores para que lo arreglen.

Edito: Google ha publicado un error por error, curioso :-), de todas formas el origen es lo que importa. Y si son los navegadores es culpa del navegador y de nadie mas.

sorrillo

#16 Si y no. A veces que estas empresas tan grandes te hagan caso es muy complicado. Lo reportas a alguien y hasta que no llega a quien toca pasan días, semanas o meses (y fijo que lo mas probable es que no llegue).

No es porque sean inútiles sino porque tienen una estructura compleja y reciben peticiones de muchísima gente, la mayoría equivocadas, estúpidas e inútiles.

Publicarlo ciertamente hace que sea mas conocido y mas gente acceda a los datos erróneos, pero a su vez hace que el problema tenga mas prioridad y se solucione muy rápidamente.

De otra forma, las 4 o 4.000 personas con el privilegio de conocer ese bug pueden estar usándolo durante meses y el daño puede ser aún mayor.

La repercusión y por consiguiente el ridículo que pueda sentir la empresa afectada puede generar una mayor concienciación por el resto de empresas que también podrían tener problemas similares y ser mas activos con el tema (si si ya ya ... pero soñar es gratis).

sorrillo

#81 Yo ya he pedido el cambio de titular varias veces pero la gente por lo visto quiere algún culpable concreto (hay demasiados navegadores a los que odiar) y por ello no se cambia el titular y votan negativo a los que lo pedimos.

Es triste.

D

#28 Lee #24

#29 Si es su culpa, pues esos datos no tendrían que mostrarse, aunque el navegador los envía, deberían tener cuidado de no mostrarlos.

sorrillo

Estoy con #8, lo raro no es que los muestre sino que google o youtube (es lo mismo, ya lo se) tenga esas contraseñas.

Por lo que veo no son sitios que estén alojados o pertenezcan a dominios de google.

Alguien que suba vídeos a youtube sabe si en algún momento hace falta informarle la contraseña de algo ?

Esto podría incluso destapar algo mas gordo, como que google este almacenando datos que no le pertenezcan y lo haga sin el conocimiento de la persona de las que los obtiene.

No se, es todo muy muy raro.

D

#11 38

D

#1 Pues a mí me sale la contraseña. Eso sí, vete probando de páginas anteriores, las primeras no parecen tirar.

sorrillo

Quizá seria interesante cambiar el titular ya que no esta nada claro que el error sea de Google ni de youtube.

wiju

Pero poner el usuario solo del ftp. En la todos los que he mirado la contraseña está sustituida por los ...

Que alguien me lo explique

ignatius
Findeton

Joer la mitad de todas esas webs ya están crackeadas, qué lammers lol

PD: en 40 mins en portada, no está mal

D

Conceptualmente y según el credo digital que uno profese si es un error grave de Google
Si alguien quiere leer sobre el tema http://www.google.com/search?q=google+dork+youtube+ftp+exploit . Es interesante

D

#45 y #49 gracias por aclararlo. Parece que el problema está en los navegadores. Pero no creo que sea por el referer, sino porque el vídeo estaría "embebido" en la página html que estaba subida en el ftp en cuestión. Entonces flash tendría acceso a la URL de la página en que se encuentra embebido el vídeo, la cual el navegador se la proporciona completita, con contraseña y todo. Si fuese un applet Java o cualquier otro plugin también tendría acceso a la URL de la página en que se encuentra.

natrix

Mis conocimientos son escasos.

Pero eso de "clicks from" sale en youtube al darle a "links" (debajo de "Views: 345 | Comments: 0 | Favorited: 2 times")

En los que he mirado han eliminado los que han enlazado desde ftps, pero quedan desde "file: ///" como este ejemplo:



Al que han accedido desde sitios como:

file: ///C:/Documents%20and%20Settings/Bernard/Local%20Settings/Temporary%20Internet%20Files/FrontPageTempDir/pvw12

D

Lo fuerte es saber el control que tienen de todo lo que hacemos.

D

06/23/2007 04:43PM 135 ATTENTION Your site can be hacked.txt
Que feo eso

natrix

A este paso va a haber que ir a un ciber para subir un vídeo a youtube a través de un proxy anónimo

sorrillo

#36 Según el video el problema aparece cuando subes páginas con videos embedidos usando un cliente FTP a tu servidor.

No lo entiendo, me sigue pareciendo muy raro.

En que momento se manda esa información ?

sorrillo

#83 Meeec. Respuesta incorrecta. Por favor relee los comentarios de la noticia o hazlo por primera vez.

Los que cometen el error son los navegadores web que le dan al plugin flash una contraseña que no deberían y este la envía a google (youtube).

Nenillo

Tiene pinta de ser un referer, es decir, desde donde llegan los usuarios, así que el problema más bien sería del navegador. ¿Cómo puede ser el navegador que si haces click en un archivo ftp transmita el referer con la contraseña y todo?

D

#76 Youtube ya lo ha hecho pero quedan los datos de la cache de Google

Nenillo

Pues sí, es lo que comentaba antes, es por el referer. Cuando pones objetos embebidos en una página html, el navegador envía una cabera http con el referer del sitio desde el cual se ha accedido a ese objeto (ya sea una imagen, un vídeo, un script, etc).

Me parece más bien un grave problema del navegador que haya dejado escapar esa información que no de Youtube.

D

#7 Por eso el error es de Google, lo compró y...

k

#49 Gracias por la aclaración. Así que al final no es culpa de Google. A veces las prisas juegan mala pasada.
Si no me equivoco esto sería como si tienes en una página de tu web datos privados sin un robots.txt que evite que los buscadores indexen esas páginas y zas, los buscadores indexan datos privados tuyos ¿problema de los buscadores?. Vah, más o menos.

Con respecto a hacer público el error mejor era hacerlo público pero una vez resuelto, se evitarían juankers jugando . Google hasta ahora parece que ha atendido los comunicados de todo tipo y con todas las vulnerabilidades se hizo así.

Pero bueno, cada uno con su modo.

Masacroso

Buscador libre, descentralizado y p2p YA

tomy

Joder a ver cuanto tardan en arreglarlo.

D

#13 #16 Generalmente, si los bugs no se hacen públicos, la empresa no suele hacer caso. De todas maneras, si esa fuera la mejor filosofía, no entiendo porque existen sitios como http://www.securityfocus.org...

Taikochu

Problema de flash...un punto más a favor del software libre. Es curioso como la "apertura", el "full disclosure" que propugna el software libre sirve para proteger nuestra privacidad y que el software propietario, propugnador de la "seguridad por oscuridad" sean los que más problemas tengan para proteger la privacidad de sus usuarios. Es como poco paradójico...

abelgb

No entiendo ni mela lol

D

La lista de ftps no es tan larga como parece.

Verlier

Ya que no importa mucho de quién es la culpa, que alguien lo arregle!

D

Youtube ha eliminado esos datos de los enlaces de los v

Masacroso

#54 jeje... nunca viene mal reivindicar una alternativa a google

D

#74 Ergo.... usando otros protocolos q no sean FTP nos quitarían de problemas de este tipo...

*La captura llena de claves sigue siendo chula

Pacollo

Yo también estoy pasmao , esto es de traca ¿que cosa que tienen las contraseñas de ftps?

Ya les vale

sorrillo

#38 La pregunta parece que no es "cuanto tardan" sino "quien tiene que arreglarlo".

D

#21, ¿y porque exista una web dedicada a divulgar bugs, eso es la mejor solución? Entonces, la Cienciología, la paidofilia o Windows también son las opciones correctas, porque no tienen una, sino miles de webs dedicadas.

#30, que sí, que es tu postura y me parece estupendo, pero que la existencia de tal o cual web no la legitima.

D

#69 ¿Por q han de ser los navegadores el problema y no el protocolo FTP?, los navegadoers muestran lo q Google les da sin proteger...

D

La culpa no es de Flash ni del navegador, es del usuario que es idiota.

#55 Bonito discurso demagogo

sorrillo

Podemos ya corregir el titular por favor ?

Venga, para que todos se queden contentos "Error muy grave en Google"

guillem

El error no es de Google, es del paleto que dejó las contraseñas TAN accesibles que hasta el bot de Google las pilló por casualidad

w

#68 toy en eyo, ar finá acabé en la siclopedia británicas.... leo musho, pero me da ke no se mentiende, de toas formas sagradese detaye. Sigo en la lusha.

D

Creo que apostaria algun dinero a que no es un error de Google ni de Youtube.. y podria apostar algunos morlacos más a que es un bug de Microsoft, mas precisamente de Internet Information Server

D

A la izquierda Opera, a la derecha Firefox

w

holas toas y tos, no kiero paiser paranoicos, pero me orripila ke sarga una afotos mías ke subí al ftp, en tal caso, ubiese formas de bajarla tra vez? (ke taba en carsonsiyos) jejje :$ (iguá aki no sale)

P.D. puse la contra de la tarjeta.... se supone ke no problemo, de toas formas los del banco man disho ke okey.
saludos de antetodo.