🛰️ PUBLIC EXPOSURE OF NASA FTP CREDENTIALS IN CORAL DOCUMENT (RESUELTO)
Cómo descubrí, reporté y ayudé a resolver una exposición de credenciales en un documento público de la NASA
Autor:sanrock Edad:18 años Origen: Cantabria, España Programa: NASA — Vulnerability Disclosure Program (a través de Bugcrowd) Estado: Resuelto Reconocimiento:Letter of Appreciation (NASA, octubre 2025)
---
🚀 Introducción
Me llamo sanrock, tengo 18 años y soy de Cantabria, una pequeña región en el norte de España. Desde hace tiempo me apasiona la tecnología, especialmente la investigación OSINT (Open Source Intelligence) y el análisis de exposición pública de información sensible.
En octubre de 2025 conseguí que la NASA validara y publicara oficialmente un hallazgo mío a través de su programa de Vulnerability Disclosure (VDP), gestionado por Bugcrowd. Hasta donde he podido comprobar, probablemente sea el primer investigador de Cantabria con un disclosure oficial de la NASA, algo que me enorgullece y que quiero compartir para inspirar a otros jóvenes investigadores.
---
🔍 El hallazgo
Durante una sesión de investigación OSINT completamente pasiva, encontré un documento PDF alojado en Google Docs relacionado con el proyecto CORAL (Coral Reef Airborne Laboratory) de la NASA. Dentro del archivo, descubrí URLs FTP con credenciales incrustadas en texto plano, con una estructura similar a:
``` ftp://usuario:contraseña@avng.jpl.nasa.gov/... ```
Estas rutas apuntaban a servidores bajo el dominio avng.jpl.nasa.gov, pertenecientes al Jet Propulsion Laboratory (JPL). Por supuesto, no intenté conectarme ni acceder a los datos: el objetivo era simplemente alertar del riesgo de exposición de credenciales en documentos públicos.
---
📚 Metodología (OSINT )
La investigación se realizó exclusivamente mediante búsquedas públicas y revisión manual de materiales accesibles en la web. Para identificar documentos públicos de Google Docs relacionados con dominios institucionales, utilicé consultas dirigidas con filtros específicos.
Ejemplo redacted de la estructura de búsqueda (no incluye parámetros ni tokens explotables):
``` site:docs.google.com inurl:"/d/" "<dominio_objetivo>" ```
En este caso, sustituí `<dominio_objetivo>` por `nasa.gov`.
⚠️ **Importante:**
No publico consultas exactas ni enlaces a los documentos originales, ya que podrían facilitar la localización masiva de información sensible. > Toda la investigación fue pasiva, sin autenticaciones ni descargas de datos.
---
📨 El reporte: de "falso positivo" a validado
Una vez verificado el hallazgo, lo reporté al NASA VDP a través de Bugcrowd, adjuntando evidencias redaccionadas, explicaciones técnicas y recomendaciones.
Sin embargo, la primera respuesta no fue la esperada: el equipo de triage lo clasificó inicialmente como un false positive, indicando que el documento ya no estaba accesible y que algunos servidores FTP públicos de la NASA no representaban riesgo.
En lugar de rendirme, decidí insistir con más pruebas:
* Adjunté capturas de pantalla donde se veía el documento y las URLs afectadas. * Envié un video demostrativo para mostrar que el archivo seguía accesible. * Proporcioné una versión redactada del texto del documento para facilitar la verificación.
Gracias a esa información adicional, el equipo de Bugcrowd pudo replicar la evidencia y reabrió el caso. Poco después, la vulnerabilidad fue marcada como válida (P3) y remitida al equipo de seguridad de la NASA/JPL para revisión final.
El 22 de octubre de 2025 , NASA confirmó la corrección del problema y me envió una **Letter of Appreciation**, reconociendo la contribución al programa.
---
🧩 Impacto y lecciones aprendidas
Aunque la exposición no implicaba datos confidenciales en sí, sí evidenciaba fallos en la gestión de credenciales dentro de materiales científicos públicos. Este tipo de incidentes pueden derivar en:
* Riesgo de acceso no autorizado a sistemas internos. * Reutilización de contraseñas en otros entornos. * Incumplimiento de políticas de seguridad y control de publicaciones.
El aspecto más positivo fue la respuesta de la NASA: tras validar el hallazgo, actuaron rápido, revocaron credenciales, restringieron accesos y mejoraron sus procesos de publicación. Eso demuestra cómo un reporte responsable puede generar un impacto real, incluso viniendo de un investigador independiente.
---
🏅 Reconocimiento oficial
El 22 de octubre de 2025 recibí una Letter of Appreciation del NASA Vulnerability Disclosure Program con el siguiente mensaje:
> "In recognition of your efforts in identifying and responsibly disclosing a vulnerability under NASA's VDP."
Más allá del documento, fue una validación enorme: el esfuerzo, la ética y la perseverancia importan, incluso cuando al principio no te creen.
---
💭 Reflexión personal
Tener 18 años y venir de Cantabria me ha hecho valorar el poder de la curiosidad y la constancia. Al principio dudé si valdría la pena insistir, pero este caso demuestra que la insistencia educada y las pruebas claras pueden cambiar un "no" por un reconocimiento oficial.
Hasta donde sé, no había visto antes un reporte público de NASA firmado por alguien de mi comunidad, así que espero que esto anime a más jóvenes cántabros (y de cualquier lugar) a interesarse por la seguridad, el análisis OSINT y la divulgación responsable.
---
🔐 Nota ética
Investigación 100 % pasiva (OSINT). No se realizaron intentos de autenticación ni acceso a datos. Todas las evidencias enviadas fueron redactadas para proteger la información sensible. No se publican consultas exactas ni enlaces directos a los documentos originales. Todo el proceso se realizó conforme a las políticas de responsible disclosure de Bugcrowd y NASA.
---
🔗 Transparencia y recursos
Disclosure público (Bugcrowd):
Reconocimiento: NASA VDP — *Letter of Appreciation*, octubre 2025.
---
✉️ Conclusión
Este caso me enseñó que la investigación ética y la persistencia dan frutos. Incluso un joven investigador independiente puede aportar valor a agencias tan grandes como la NASA, siempre que actúe con responsabilidad, respeto y transparencia.
Si este artículo llega a otros jóvenes interesados en la seguridad informática, espero que les sirva para entender que nunca es demasiado pronto para empezar, ni demasiado pequeño el lugar del que vienes.
— sanrock
Instagram:https://www.instagram.com/adrian_sanrock?igsh=bWRlajdkaTc2bWlu