elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Deberia publicar una vulnerabilidad muy seria?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: Deberia publicar una vulnerabilidad muy seria?  (Leído 12,969 veces)
‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Deberia publicar una vulnerabilidad muy seria?
« en: 26 Mayo 2011, 21:27 pm »

Muy buenas a todo el mundo que quiera leer.

Hace semanas, unas cuantas.. descubrí una vulnerabilidad XSS en una página importante (de una multinacional, todos hemos oido hablar de ella, prefiero no dar nombres), pero no me quedé ahi.. seguí investigando. Descubrí que tiene un sistema de logue totalmente inseguro, no solo eso, si no que es explotable y demás.

He contactado con ello, me dijeron que lo arreglarian. No han hecho nada.
También le envié un mensaje al GDT (grupo de delitos telemáticos) y tuve el placer de hablar con Juan Salóm por teléfono durante un ratejo, comentándole este tema, diciéndole que empresa era, y donde estaba el fallo, incluso posteriormente les mandé otro mensaje detallando con total exactitud todo. Siguen sin haber arreglado nada.
Tambien incluso twitteé un poco con Chema Alonso y el twitter de SecByDefault (de ahi me dieron la idea de denunciar).

Sin duda, me gustaria publicar esta vulnerabilidad, que más que vulnerabilidad, lo convertiria como en un análisis de seguridad hacia esa página, ya que tendria mucho de qué hablar.

El caso es que tengo un poco de miedo: si contacté con el GDT es porque creo que, como dije anteriormente, hablo de una multinacional: juega con datos privados importantes básicamente.

Sabeis de algún caso similar que haya tenido repercusiones negativas? Creeis que podria pasarme algo? Que hariais vosotros?

La verdad que lo fácil es decir que no diga nada, pero no he estado parando de darle vueltas durante toodas estas semanas, y además de por el simple hecho de ser algo importante.. estoy muy a favor de reportar una vulnerabilidad y posteriormente publicarla. El caso es que es bastante explotable (a mi parecer) y no sé que repercusiones podria traer.
En línea

dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #1 en: 26 Mayo 2011, 21:40 pm »

Vamos a ver, yo, como MUCHOS de este foro hemos encontrado fallos importantes.

Yo por ejemplo descubrí un fallo en el cual podía borrar cualquier cuenta de Tuenti (sin XSS ni mierdas) y funcionó durante un año...

Luego también encontré fallos graves en una importante empresa de telecomunicaciones y tampoco dije nada...

Y luego encontré fallos en la SGAE, PSOE, E2000, etc... y por joder un rato lo publique...

Mi política es la siguiente: Si puede joder a personas inocentes que no tienen nada que ver con esto, no lo publico.
En línea




‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #2 en: 26 Mayo 2011, 22:02 pm »

La cosa es que me gustaria publicarlo una vez esté arreglado.. pero no lo arreglan, y quitando todo lo demás, me gustaria que lo arreglaran, ya que pone en peligro a miles de personas, por ello que contacté incluso con el GDT.

Me gustaria seguir intentando insistir en que lo arreglen, sin embargo pasan de mi culo, o eso parece. Incluso podria intentar hablar con el jefe de algun jefe de algun jefe, intentando llegar alto para que me oigan, o demostrar de alguna manera que es algo superserio.

=S
En línea

4rm4ndo
Colaborador
***
Desconectado Desconectado

Mensajes: 3.023


The Big Brother is watching you


Ver Perfil
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #3 en: 26 Mayo 2011, 22:26 pm »

Contacta con un periodista serio. No lo publiques en foros. Pasalo a gente de confianza por privado.
 
Saludos. Armando.
En línea

[img]http:
08l00D

Desconectado Desconectado

Mensajes: 168


Ver Perfil
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #4 en: 26 Mayo 2011, 22:46 pm »

Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..

A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..

Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.641


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #5 en: 26 Mayo 2011, 22:47 pm »

no sé lo que haría, pero ni caso a lo que ha dicho Armando xD

Hay mucha gente que te puede aconsejar, ya has hablado con varios, pues ahora decide tu en función de lo que te hayan dicho y de los posibles riesgos que quieras asumir.
En línea

‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #6 en: 26 Mayo 2011, 22:48 pm »

Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..

A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..

Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..

WAT?

No sé si me has leido lo que he puesto, pero repito: he contactado con el jefe del GDT y con la compañia, y pasan de mi. No me creo "superkaker" ni nada, simplemente estoy diciendo que encontré una vulnerabilidad (un conjunto) muy grave y he pedido consejo .__.
En línea

4rm4ndo
Colaborador
***
Desconectado Desconectado

Mensajes: 3.023


The Big Brother is watching you


Ver Perfil
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #7 en: 26 Mayo 2011, 23:00 pm »

uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???
En línea

[img]http:
‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #8 en: 27 Mayo 2011, 00:25 am »

uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???

Ahi ahi, poniendo en compromiso a la gente xDDD
En línea

EvilGoblin


Desconectado Desconectado

Mensajes: 2.323


YO NO LA VOTE!


Ver Perfil
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #9 en: 27 Mayo 2011, 14:51 pm »

Oh crea un blog anonimo y publicalo ahi con otro nombre ?=D x)..

pero obviamente ya estuvistes hablando con 1/2 españa asi que sabran que fuistes tu, hablar con los administradores de los sitios es muy molesto, ellos te ignoran completamente pensando que ellos saben mas que nadie.
Lo mejor seria hablar con una persona responsable del lugar (con mucho cuidado de lo que dices, pensaran que es una amenaza o extorsión), o enviar la noticia a alguna revista de informatica.
En línea

Experimental Serial Lain [Linux User]
Páginas: [1] 2 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Que debería hacer?
Sugerencias y dudas sobre el Foro
-Ement- 1 2,420 Último mensaje 25 Julio 2007, 01:01 am
por BenRu
Paso lógico de Pascal a.....cual sería el lenguaje más actual al que se debería
Programación General
manu3742 1 2,898 Último mensaje 5 Abril 2011, 14:24 pm
por skapunky
Un investigador español detecta una seria vulnerabilidad en Facebook
Noticias
wolfbcn 1 2,450 Último mensaje 27 Julio 2011, 13:51 pm
por kub0x
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines