Tema destacado: Personaliza-Escoge el diseño del foro que más te guste.
 Autor
|
Tema: Deberia publicar una vulnerabilidad muy seria? (Leído 3,420 veces)
|
|
lipman
|
Muy buenas a todo el mundo que quiera leer. Hace semanas, unas cuantas.. descubrí una vulnerabilidad XSS en una página importante (de una multinacional, todos hemos oido hablar de ella, prefiero no dar nombres), pero no me quedé ahi.. seguí investigando. Descubrí que tiene un sistema de logue totalmente inseguro, no solo eso, si no que es explotable y demás. He contactado con ello, me dijeron que lo arreglarian. No han hecho nada. También le envié un mensaje al GDT (grupo de delitos telemáticos) y tuve el placer de hablar con Juan Salóm por teléfono durante un ratejo, comentándole este tema, diciéndole que empresa era, y donde estaba el fallo, incluso posteriormente les mandé otro mensaje detallando con total exactitud todo. Siguen sin haber arreglado nada. Tambien incluso twitteé un poco con Chema Alonso y el twitter de SecByDefault (de ahi me dieron la idea de denunciar). Sin duda, me gustaria publicar esta vulnerabilidad, que más que vulnerabilidad, lo convertiria como en un análisis de seguridad hacia esa página, ya que tendria mucho de qué hablar. El caso es que tengo un poco de miedo: si contacté con el GDT es porque creo que, como dije anteriormente, hablo de una multinacional: juega con datos privados importantes básicamente. Sabeis de algún caso similar que haya tenido repercusiones negativas? Creeis que podria pasarme algo? Que hariais vosotros? La verdad que lo fácil es decir que no diga nada, pero no he estado parando de darle vueltas durante toodas estas semanas, y además de por el simple hecho de ser algo importante.. estoy muy a favor de reportar una vulnerabilidad y posteriormente publicarla. El caso es que es bastante explotable (a mi parecer) y no sé que repercusiones podria traer.
|
|
|
|
|
En línea
|
|
|
|
|
dimitrix
|
Vamos a ver, yo, como MUCHOS de este foro hemos encontrado fallos importantes.
Yo por ejemplo descubrí un fallo en el cual podía borrar cualquier cuenta de Tuenti (sin XSS ni mierdas) y funcionó durante un año...
Luego también encontré fallos graves en una importante empresa de telecomunicaciones y tampoco dije nada...
Y luego encontré fallos en la SGAE, PSOE, E2000, etc... y por joder un rato lo publique...
Mi política es la siguiente: Si puede joder a personas inocentes que no tienen nada que ver con esto, no lo publico.
|
|
|
|
|
En línea
|
|
|
|
|
lipman
|
La cosa es que me gustaria publicarlo una vez esté arreglado.. pero no lo arreglan, y quitando todo lo demás, me gustaria que lo arreglaran, ya que pone en peligro a miles de personas, por ello que contacté incluso con el GDT.
Me gustaria seguir intentando insistir en que lo arreglen, sin embargo pasan de mi culo, o eso parece. Incluso podria intentar hablar con el jefe de algun jefe de algun jefe, intentando llegar alto para que me oigan, o demostrar de alguna manera que es algo superserio.
=S
|
|
|
|
|
En línea
|
|
|
|
|
4rm4ndo
|
Contacta con un periodista serio. No lo publiques en foros. Pasalo a gente de confianza por privado.
Saludos. Armando.
|
|
|
|
|
En línea
|
|
|
|
08l00D
 Desconectado
Mensajes: 168
|
Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..
A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..
Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..
|
|
|
|
|
En línea
|
|
|
|
|
el-brujo
|
no sé lo que haría, pero ni caso a lo que ha dicho Armando xD
Hay mucha gente que te puede aconsejar, ya has hablado con varios, pues ahora decide tu en función de lo que te hayan dicho y de los posibles riesgos que quieras asumir.
|
|
|
|
|
En línea
|
"elhacker.net es único, por eso no fabrica para otras marcas" - Prohibido prohibir  |
|
|
|
lipman
|
Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..
A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..
Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..
WAT? No sé si me has leido lo que he puesto, pero repito: he contactado con el jefe del GDT y con la compañia, y pasan de mi. No me creo "superkaker" ni nada, simplemente estoy diciendo que encontré una vulnerabilidad (un conjunto) muy grave y he pedido consejo .__.
|
|
|
|
|
En línea
|
|
|
|
|
4rm4ndo
|
uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???
|
|
|
|
|
En línea
|
|
|
|
|
lipman
|
uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???
Ahi ahi, poniendo en compromiso a la gente xDDD
|
|
|
|
|
En línea
|
|
|
|
EvilGoblin
Desconectado
Mensajes: 2.320
YO NO LA VOTE!
|
Oh crea un blog anonimo y publicalo ahi con otro nombre ?=D x)..
pero obviamente ya estuvistes hablando con 1/2 españa asi que sabran que fuistes tu, hablar con los administradores de los sitios es muy molesto, ellos te ignoran completamente pensando que ellos saben mas que nadie.
Lo mejor seria hablar con una persona responsable del lugar (con mucho cuidado de lo que dices, pensaran que es una amenaza o extorsión), o enviar la noticia a alguna revista de informatica.
|
|
|
|
|
En línea
|
Experimental Serial Lain [Linux User]
|
|
|
|
skapunky
|
Ve con cuidado, porque aunque no hayas cometido ningún "delíto" la empresa te podría denunciar sin problemas, aquí en España el tema de pentester es algo complicado ya que urgaste sin un contrato o autorización.
Al no tener autorización para ello puedes meterte en un lío. Almenos hicíste bien de denunciarlo al GDT pero eso no quita que la empresa pueda denunciar.
|
|
|
|
|
En línea
|
|
|
|
|
dimitrix
|
No entiendo por que a la DGT...
|
|
|
|
|
En línea
|
|
|
|
|
Mini_Nauta
|
desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos
|
|
|
|
|
En línea
|
|
|
|
|
lipman
|
No entiendo por que a la DGT...
xDD a la DGT no, al GDT (grupo de delitos telemáticos) desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos
Hmm, no creo que sea eso, porque realmente daño no hay ninguno, y a pesar de que puedas conseguir total acceso, no hablo de robar una base de datos ni nada por el estilo. Muchas gracias chicos, da que pensar..
|
|
|
|
|
En línea
|
|
|
|
|
skapunky
|
Veo que mi respuesta tal como a entrado se ha ido para arriba, aquí te pongo la pregunta hecha a la GDT y contestada por ellos: He descubierto una vulnerabilidad en una página web alojada en España, ¿puedo publicarla en mi blog?
Si la has descubierto es que la has probado, y con la última modificación del código penal, yo no lo aconsejaría. Nos podemos encontrar con un administrador de sistemas que no le gusta que le saquen lo colores y que convenza a la empresa para que denuncie.
Yo aconsejaría que nos utilicen, que nos informen del fallo par que nosotros se lo comuniquemos a los afectados. Con nosotros aún nadie se ha puesto gallito, además nuestros avisos van con la coletilla de que si la vulnerabilidad permite acceder a datos reservados, si en un plazo razonable no se subsana, se dará cuenta a la Agencia Española de Protección de Datos.
El publicarla en la web solo te va a reportar prestigio para ti, y vas a incitar a que los muchos curiosos que te leen, se dediquen a probar el fallo, y eso entiendo que “moleste” un poco. Directo y calentito desde DGT GDT, ya tienes respuesta a tu pregunta inicial. |
|
|
|
|
En línea
|
|
|
|
|
 |
