Hola a todos, ayer en lugar de publicar un post, lancé una nueva web. Algunos de vosotros entrasteis a ver, y como es normal no os pareció muy interesante.
La web de la que os hablo es esta: https://www.linkedinprivate.com y como podéis ver, cuenta con un potente motor tecnológico que actúa de intermediario entre dos usuarios de LinkedIn permitiendo al solicitante ver el perfil de la «víctima» de forma 100% anónima.
Pero… ¿cómo funciona todo eso?
Primero vamos a ver la respuesta técnica: el funcionamiento se basa en la gran cantidad de contactos asociados con los que cuenta la web, esto le permite visitar cualquier perfil como si fuera contacto y ofrecérselo al usuario del servicio, sin que este deje ningún rastro.
La respuesta menos técnica de su funcionamiento es esta: NO, NO FUNCIONA!
Así es, esta web no es más que un par de páginas HTML con una apariencia cuidada, y que ofrecen un servicio, que para ser usado necesita de la password y el nombre de usuario de LinkedIn.
Una vez «recogidos», el usuario ha sido 100% comprometido y ha entregado sus credenciales a cambio de nada.
Pero no os preocupéis, no me he pasado al lado oscuro, la web no recoge ninguna credencial, no tiene base de datos, y todo su código es público en GitHub. La web muestra un mensaje de advertencia al usuario explicado lo que podría haber pasado.
No compartas este post, comparte su contenido! Click Para TwittearHe creado esta web para intentar aportar el conocimiento a mucha gente que todavía sigue confiando en los servicios que sólo intentan estafarles, por ello os pido que no compartáis este post, sino que compartáis con el mayor numero de gente posible este pequeño experimento (https://linkedinprivate.com) que puede ayudar a crear un Internet más seguro.
La web cuenta con un certificado SSL válido, lo que da confianza a muchos usuarios, que confían ciegamente en el «candadito verde» pero que, como en este caso, no ofrece protección alguna.
En los próximos días/semanas iré actualizando este post con el resumen de google analytics sobre el número de usuarios que han dado click en el botón de enviar.
ACTUALIZACIÓN:
Tras unos días funcionando recibo varios mensajes que me alertan sobre el estado «offline» de la aplicación, tras comprobarlo veo que la administración de RedHat (Lugar donde estaba alojada la app) ha dado de baja mi sitio sin ninguna explicación por según ellos dicen calificarlo como un sitio de Phishing
We believe your use of OpenShift violates the Services Agreement and Acceptable Use Policy both of which can be found here: https://openshift.redhat.com/app/legal/
Violation: Phishing
Your applications have been removed. You can contact us at ‘[email protected]’The Red Hat OpenShift Team
Veremos haber que pasa…
ACTUALIZACIÓN 2:
Tras explicarle al servicio de RedHat varias veces la finalidad de la app y facilitarle todo el código la respuesta es esta:
Thank you for your reply, but we still consider your software as phishing web site, given it acts as a 3rd party website.
Thank you for your understanding,
Por lo que tras esta negativa he movido la app a mi propio servidor.
Por ultimo y a petición popular aquí dejo el link a github en el que descargar el código de la web para replicarlo en vuestros propios servidores. Recordar que esto debe ser usado con fines educativos, y NUNCA con fines delictivos. NO ME HAGO RESPONSABLE DEL MAL USO QUE SE LE DE, Y CUALQUIER INDICIO DELICTIVO SERA DENUNCIADO.