Muchos de los sitios de hosting web que existen disponen de herramientas que permiten facilitar las tareas en lo que respecta a la administración de los sitios web. Esto permite agilizar la forma en que trabajan los administradores, pero también puede acarrear ciertos problemas. Este es el caso de la herramienta de administración web conocida bajo el nombre cPanel (Acrónimo de control Panel).
cPanel es una herramienta ampliamente utilizada que dispone de muchas características como, por ejemplo, la gestión de correos, gestión del propio sitio web, programador de tareas, scripts preinstalados, entre otras.
Un usuario administrador que desea utilizar esta aplicación debe crear una cuenta en la cual ingresa información sensible, entre la que se encuentran la dirección del dominio, el nombre de usuario y la contraseña. Luego de haber completado todos los datos y creado la cuenta, cPanel responde con un mensaje exponiendo todos los datos de la cuenta que se acaba de crear. Como se detalla a continuación, veremos que el problema reside en esta característica y en cómo es accesible mediante un buscador debido a su sistema de caché e indexación.
Si se toma el caso particular de Google, el cual indexa una gran cantidad de datos disponibles en la red de manera muy eficiente, y a esto se le suma el descuido del administrador que no borra el archivo que contiene los datos expuestos por cPanel, es muy sencillo realizar una búsqueda que deje expuesta toda esta información. De esta forma, un usuario malintencionado, tendrá acceso a estos datos y podrá ingresar al panel de administración utilizando las credenciales de acceso del administrador. La siguiente imagen muestra un formulario de respuesta de cPanel:
A continuación puede visualizarse que realizando una búsqueda refinada en Google, se obtienen casi 750 sitios que no han borrado estos datos de acceso de sus servidores y, por lo tanto, las credenciales de acceso de los administradores quedan expuestas.
Debido a esta situación, los administradores deben tener mucho cuidado a la hora de crear su cuenta de acceso cuando se utiliza cPanel. Se debe borrar el formulario de respuesta para que éste no pueda ser indexado por Google o cualquier otro buscador. Este comportamiento por parte de los administradores debe extenderse para cualquier aplicación que publique información crítica en la red, ya que el propio motor de búsqueda no distingue que información es sensible y cuál no.
Cabe aclarar que en el caso que la información ya haya sido expuesta, el administrador debe borrar el archivo en cuestión y posteriormente modificar las credenciales de acceso o al menos la contraseña.
Ya se ha visto anteriormente problemas similares a éste, donde información sensible queda a disposición de los buscadores. De esta forma, se debe ser responsable de la información que permanece pública, ya que por más que estos datos no sean accesibles a través de un enlace, no significa que no lo serán a través de un buscador.
Fernando Catoira
Analista de Seguridad