Metadatos: Obteniendo información del SERVEL

El Servicio Electoral de Chile ha sido noticia luego de que publicara información de 13 millones de chilenos, ahora es el turno de los usuarios obtener información del SERVEL y hacerla pública. Por defecto, la mayoría de los documentos de texto (doc, xls, pdf, etc) guardan información sobre la fecha de creación y usuario quien […]

El Servicio Electoral de Chile ha sido noticia luego de que publicara información de 13 millones de chilenos, ahora es el turno de los usuarios obtener información del SERVEL y hacerla pública.

Por defecto, la mayoría de los documentos de texto (doc, xls, pdf, etc) guardan información sobre la fecha de creación y usuario quien creó el archivo entre otros datos, que permiten realizar Information Gathering sobre una empresa o institución en especial, dichos datos son los denominados metadatos.

Luego de realizar la recopilación de información de una empresa, es posible realizar distintos tipos de ataques tales como Phishing o Ingenieria Social usando información interna de la empresa. Un caso simple y básico sería utilizar la información de los usuarios e impresoras para hacerse pasar por un técnico, para esto tenemos los datos necesarios como el nombre, dirección y teléfono de la empresa (publicos en su sitio web), nombres de empleados y marca/modelo de impresoras obtenido desde los metadatos.

@shinee_ escribió al respecto y se dio el trabajo de recopilar una serie de documentos publicados bajo el dominio servel.cl

Archivos XLS

Busqueda en Google: Archivos XLS desde servel.cl

Archivos DOC

Busqueda en Google: Archivos DOC desde servel.cl

Archivos PDF

Busqueda en Google: Archivos PDF desde servel.cl

La información extraída por @shinee_ corresponde a nombres de usuarios, programas utilizados y marcas y modelos de impresoras. De 684 archivos encontrados, sólo se analizó el 23% y una muestra del resultado final es:

Puedes leer el artículo original en el Blog Shinee – SERVEL y los Metadatos.