Problema de seguridad en Google, quedan expuestos ficheros confidenciales
Google ha sufrido en estos últimos días un ataque aprovechando un agujero de seguridad existente en sus servidores, mediante dicho agujero puedo acceder a ficheros de programación en los que se mostraban una serie de tablas de mySQL que estan destinadas a almacenar información sobre la eliminación de URLs tales como información de usuarios o de las páginas web a eliminar.
Parece ser que, debido a restricciones de uso remoto de la Base de Datos, no se podía acceder a la información contenida en dichas tablas. Este no es el único caso en que Google utiliza mySQL para sus herramientas, y por ejemplo el sistema publicitario AdWords también lo emplea para almacenar datos de anunciantes.
También se encontró un fichero en el que podíamos encontrar lo siguiente :
- El robot de Google que efectuaba estas labores de comprobación para eliminar páginas web en realidad estaba instalado sobre la ruta '/apps/bin/robots_unittest' del servidor.
- Este robot seguía unos patrones de rastreo contenidos en el directorio '/home/google/googlebot/'
- Se almacenaban datos de rastreo en '/apps/smallcrawl-data'
- La longitud máxima permitida en las URLs (al menos, de las que se querían eliminar con este método) era de 511 caracteres
- La aplicación estaba desarrollada con Java, y utilizando las antiguas clases de conexión con mySQL, además de otras creadas por los ingenieros de Google
- La clave del administrador de esta Base de Datos era tan sencilla como 'k00k00' (como hemos dicho, restricciones de uso remoto impedían conectar desde servidores externos)
