La información de calidad, una espada de doble filo
Si con el término Google hacking ya veníamos haciendo referencia al uso de determinadas búsquedas en Google para obtener información sensible o localizar sistemas vulnerables, hoy asistimos al nacimiento del Metalink hacking, es decir, el uso malicioso del servicio Metalink de Oracle para obtener información sensible a partir de esta base de datos sobre bugs, accesible sólo a clientes y al propio personal de Oracle...
El hallazgo ha partido de RDS, una firma de investigación en seguridad, que encontró 42 bugs potenciamente explotables en 42 horas de pruebas, e informó acto seguido a Oracle.
Por su parte, parece que Oracle ha bloqueado el acceso a las entradas del foro mencionadas en esa investigación. Según se cita como ejemplo, una simple búsqueda sobre los términos "security bug" llevaba a una entrada del foro donde un usuario de Oracle explicaba cómo se había accedido inadvertidamente a un bug que permitía una inapropiada escalada de privilegios.
Los expertos han coincidido en que la excelente calidad y nivel de detalle del servicio Metalink de Oracle es lo que la convierte también en una buena fuente de fugas de información sensible: "Es una espada de doble filo", han afirmado.
Fuente:
