Google, reparte inseguridad a todos.

Google ha cometido un fallo muy grande para su imagen, y es que debido a un agujero de seguridad Ronald van den Heetkamp pudo acceder al root y navegar por las carpetas, aquí viene otro fallo de Google, almacenar la base de datos en el directorio /www que puede ser vista remotamente.

en google.dirson.com hicieron una revision un poco mas ampliada de los contenidos y explican:

Así, podemos descubrir por ejemplo ‘schema.sql’, donde se crean una serie de tablas de mySQL de la Base de Datos ‘dbRemoveUrl’, y destinadas a almacenar algunos datos referentes a la eliminación de URLs, como información de los usuarios o de las páginas web a eliminar. Parece ser que, debido a restricciones de uso remoto de la Base de Datos, no se podía acceder a la información contenida en dichas tablas. Este no es el único caso en que Google utiliza mySQL para sus herramientas, y por ejemplo el sistema publicitario AdWords también lo emplea para almacenar datos de anunciantes.

También nos podíamos encontrar con ‘config.txt’, del cual podemos conocer que:

:: el robot de Google que efectuaba estas labores de comprobación para eliminar páginas web en realidad estaba instalado sobre la ruta ‘/apps/bin/robots_unittest’ del servidor,

:: este robot seguía unos patrones de rastreo contenidos en el directorio ‘/home/google/googlebot/’,

:: se almacenaban datos de rastreo en ‘/apps/smallcrawl-data’,

:: la longitud máxima permitida en las URLs (al menos, de las que se querían eliminar con este método) era de 511 caracteres,

:: la aplicación estaba desarrollada con Java, y utilizando las antiguas clases de conexión con mySQL ‘MM.MySQL’, además de otras creadas por los ingenieros de Google

:: la clave del administrador de esta Base de Datos era tan sencilla como ‘k00k00’ (como hemos dicho, restricciones de uso remoto impedían conectar desde servidores externos)

Descargarse los contenidos que pudieron ser accedidos desde aquí.

Ahora yo digo, nos podemos fiar de los peces gordos? en este caso el fallo no desveló ninguna información personal, pero si lo hubiese hecho? ahí queda la pregunta.