(via light blue touchpaper)

Hace unas semanas, un ¿Hacker? consiguió irrumpir en light blue touchpaper, el blog dedicado a seguridad de la universidad de Cambridge.

Una de las acciones del atacante, fue crearse una cuenta de administrador en el blog (utilizando una vulnerabilidad de Wordpress). El autor legítimo, intentando hacer un análisis forense de lo sucedido, penso que sería interesante conocer la contraseña utilizada por el atacante.

Para ello, fue a la base de datos de usuarios de WordPress ,extrajo el password en formato MD5 e intento descifrarlo. (mediante un script en python que probaba combinaciones por fuerza bruta)

Pronto se dio cuenta que aquello podría tardar una eternidad… Y al buen hombre se le ocurrio buscar la cadena 20f1aeb7819d7858684c898d1e98c1bb en google. Entre los resultados, obtuvo dos que le resultarón interesantes. Una página de genealogía que apuntaba a un tal Anthony y una casa en venta cuyo vendedor era otro Anthony.

Probó, y efectívamente, la contraseña era Anthony……

Esta claro que google hace lo que mejor sabe hacer. Indexar millones de datos y mostrarlos al usuario que los busca de la manera más rapida y eficiente. Pero estoy seguro que nadie en google se imaginaba que el buscador podia usarse como utilidad para descifrar datos…. ¿Veremos en el futuro un servicio dedicado a la recuperacíon de datos llamado “google hash”?

Trackback this Post | Feed on comments to this Post