Flow.cl y la poca capacidad de configurar un robots.txt

A principio del año 2020 descubrí que existe una plataforma chilena para recibir pagos que muchos usuarios la utilizan como medio de recepción de donaciones. Quise indagar más en el tema hasta que me di cuenta de varias cosas:

  • En la página del usuario además de tener el nombre de la Institución que recibe la donación, tenía el correo que muchas veces era personal
  • Estos datos son consultados a la base de datos a través del parámetro token, que es un key alfanumérica pasado por método GET.

En lo personal creo que usar una key alfanumérica una buena manera de intentar mitigar las posibles consultas masivas para sacar los datos disponibles en las páginas de usuario (correo electrónico), pero en este caso ese esfuerzo quedaba casi anulado por una mala configuración del robots.txt.

Resulta que con un pequeño dork en Google era posible acceder a un montón de botones de pago, haciendo posible sacar los datos sin problema.

Al buscar en Google devolvió más de 6000 resultados, la verdad no sé cuántos clientes tiene Flow pero creo que son bastantes

Tras eso procedí a escribir un correo:

Correo enviado en la fecha, señalando que había escrito un post en el blog -que perdí :(-

A lo cual me respondieron lo siguiente:

Correo donde basicamente me dicen que el problema no es de ellos, sino de los usuarios

El asunto es que la respuesta que dio el equipo de Flow no es del todo correcta, ya que según un chequeo al robots.txt se aprecia que fueron ellos los que le dieron el poder a googlebot (y otros bots) para indexar todo lo posible:

robots.txt a finales de enero del 2020, antes de que yo les avisara de esto (url: https://web.archive.org/web/20200131223439/https://www.flow.cl/robots.txt)

En el robots.txt mostrado anteriormente se puede notar que la regla Disallow está para directorios especificos, cosa que dejaba afuera de esta regla a los subdirectorios como /app/web/, en donde está el archivo pagarBtnPago.php, ejemplo: https://www.flow.cl/app/web/pagarBtnPago.php?token=p10rqwa

Este pequeño error deja indexado a todos los botones de pago en Google.

Pero, ¿por qué es algo que hay que evitar?
La respuesta es simple: para que los clientes no sean víctimas de campañas de phishing. El dar información personal vinculada a una dirección de correo electrónico facilita que sean víctimas de campañas de phishing personalizado (del inglés Spear Phishing).

Para finalizar este post indicar que a pesar de no dar una respuesta en donde dijeran que el error fue de ellos (y ni un ‘gracias por avisar’), arreglaron el robots.txt y lograron evitar que se volvieran a indexar.

robots.txt en febrero del 2021, con la regla Disallow para el directorio /app/ y sus subdirectorios

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *