Muy buenas a todo el mundo que quiera leer.

Hace semanas, unas cuantas.. descubrí una vulnerabilidad XSS en una página importante (de una multinacional, todos hemos oido hablar de ella, prefiero no dar nombres), pero no me quedé ahi.. seguí investigando. Descubrí que tiene un sistema de logue totalmente inseguro, no solo eso, si no que es explotable y demás.

He contactado con ello, me dijeron que lo arreglarian. No han hecho nada.
También le envié un mensaje al GDT (grupo de delitos telemáticos) y tuve el placer de hablar con Juan Salóm por teléfono durante un ratejo, comentándole este tema, diciéndole que empresa era, y donde estaba el fallo, incluso posteriormente les mandé otro mensaje detallando con total exactitud todo. Siguen sin haber arreglado nada.
Tambien incluso twitteé un poco con Chema Alonso y el twitter de SecByDefault (de ahi me dieron la idea de denunciar).

Sin duda, me gustaria publicar esta vulnerabilidad, que más que vulnerabilidad, lo convertiria como en un análisis de seguridad hacia esa página, ya que tendria mucho de qué hablar.

El caso es que tengo un poco de miedo: si contacté con el GDT es porque creo que, como dije anteriormente, hablo de una multinacional: juega con datos privados importantes básicamente.

Sabeis de algún caso similar que haya tenido repercusiones negativas? Creeis que podria pasarme algo? Que hariais vosotros?

La verdad que lo fácil es decir que no diga nada, pero no he estado parando de darle vueltas durante toodas estas semanas, y además de por el simple hecho de ser algo importante.. estoy muy a favor de reportar una vulnerabilidad y posteriormente publicarla. El caso es que es bastante explotable (a mi parecer) y no sé que repercusiones podria traer.

La cosa es que me gustaria publicarlo una vez esté arreglado.. pero no lo arreglan, y quitando todo lo demás, me gustaria que lo arreglaran, ya que pone en peligro a miles de personas, por ello que contacté incluso con el GDT.

Me gustaria seguir intentando insistir en que lo arreglen, sin embargo pasan de mi culo, o eso parece. Incluso podria intentar hablar con el jefe de algun jefe de algun jefe, intentando llegar alto para que me oigan, o demostrar de alguna manera que es algo superserio.

=S

Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..

A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..

Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..

WAT?

No sé si me has leido lo que he puesto, pero repito: he contactado con el jefe del GDT y con la compañia, y pasan de mi. No me creo "superkaker" ni nada, simplemente estoy diciendo que encontré una vulnerabilidad (un conjunto) muy grave y he pedido consejo .__.

Ahi ahi, poniendo en compromiso a la gente xDDD