El Servicio Electoral de Chile ha sido noticia luego de que publicara información de 13 millones de chilenos, ahora es el turno de los usuarios obtener información del SERVEL y hacerla pública.
Por defecto, la mayoría de los documentos de texto (doc, xls, pdf, etc) guardan información sobre la fecha de creación y usuario quien creó el archivo entre otros datos, que permiten realizar Information Gathering sobre una empresa o institución en especial, dichos datos son los denominados metadatos.
Luego de realizar la recopilación de información de una empresa, es posible realizar distintos tipos de ataques tales como Phishing o Ingenieria Social usando información interna de la empresa. Un caso simple y básico sería utilizar la información de los usuarios e impresoras para hacerse pasar por un técnico, para esto tenemos los datos necesarios como el nombre, dirección y teléfono de la empresa (publicos en su sitio web), nombres de empleados y marca/modelo de impresoras obtenido desde los metadatos.
@shinee_ escribió al respecto y se dio el trabajo de recopilar una serie de documentos publicados bajo el dominio servel.cl
Archivos XLS
Archivos DOC
Archivos PDF
La información extraída por @shinee_ corresponde a nombres de usuarios, programas utilizados y marcas y modelos de impresoras. De 684 archivos encontrados, sólo se analizó el 23% y una muestra del resultado final es:
Puedes leer el artículo original en el Blog Shinee – SERVEL y los Metadatos.