elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Deberia publicar una vulnerabilidad muy seria?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: Deberia publicar una vulnerabilidad muy seria?  (Leído 12,970 veces)
skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #10 en: 27 Mayo 2011, 15:24 pm »

Ve con cuidado, porque aunque no hayas cometido ningún "delíto" la empresa te podría denunciar sin problemas, aquí en España el tema de pentester es algo complicado ya que urgaste sin un contrato o autorización.

Al no tener autorización para ello puedes meterte en un lío. Almenos hicíste bien de denunciarlo al GDT pero eso no quita que la empresa pueda denunciar.
En línea

Killtrojan Syslog v1.44: ENTRAR
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #11 en: 27 Mayo 2011, 15:48 pm »

No entiendo por que a la DGT...
En línea




flacc


Desconectado Desconectado

Mensajes: 854


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #12 en: 27 Mayo 2011, 16:26 pm »

desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos
En línea

‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #13 en: 27 Mayo 2011, 16:36 pm »

No entiendo por que a la DGT...
xDD a la DGT no, al GDT (grupo de delitos telemáticos)

desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos

Hmm, no creo que sea eso, porque realmente daño no hay ninguno, y a pesar de que puedas conseguir total acceso, no hablo de robar una base de datos ni nada por el estilo.

Muchas gracias chicos, da que pensar..
En línea

skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #14 en: 27 Mayo 2011, 16:46 pm »

Veo que mi respuesta tal como a entrado se ha ido para arriba, aquí te pongo la pregunta hecha a la GDT y contestada por ellos:

Citar
He descubierto una vulnerabilidad en una página web alojada en España, ¿puedo publicarla en mi blog?

Si la has descubierto es que la has probado, y con la última modificación del código penal, yo no lo aconsejaría. Nos podemos encontrar con un administrador de sistemas que no le gusta que le saquen lo colores y que convenza a la empresa para que denuncie.

Yo aconsejaría que nos utilicen, que nos informen del fallo par que nosotros se lo comuniquemos a los afectados. Con nosotros aún nadie se ha puesto gallito, además nuestros avisos van con la coletilla de que si la vulnerabilidad permite acceder a datos reservados, si en un plazo razonable no se subsana, se dará cuenta a la Agencia Española de Protección de Datos.

El publicarla en la web solo te va a reportar prestigio para ti, y vas a incitar a que los muchos curiosos que te leen, se dediquen a probar el fallo, y eso entiendo que “moleste” un poco.

Directo y calentito desde DGT GDT, ya tienes respuesta a tu pregunta inicial.
En línea

Killtrojan Syslog v1.44: ENTRAR
[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #15 en: 27 Mayo 2011, 17:15 pm »

Full Disclousure!

Podes publicar la vuln en secunia o algun sistema similar....ademas no se que te preocupa?

Podrias usarla para atacar la web en cuestion, es lo que yo haria. na vez descubri una RFI en site de homebancking del banco de aca.

Lo que hice fue alo parecido al carding xD. Ademas yo tenia una base de datos de unas 3000 mil perosnas que usaban dicho sistema (la misma la consegui gracias a mi anteior empleo). Asi que con toda la montada de un 'scam' y un poco de ingenieria social logre hacerme con unas 200 tarjetas de creditos (datos y clave de homebanking). Pero me detuve ahi, si le robaria al banco peor no a otross pobres laburantes como yo.

A lo que voy es que a veces se encuentran vulnerabilidades enormes en sitios inesperados.

Lo que si, no sean lammers. Si van a compometer un sistema que sea solo por curiosidd/diversion, nunca por maldad, venganza o intereses personales.

Saludos
« Última modificación: 27 Mayo 2011, 17:20 pm por [u]nsigned » En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #16 en: 27 Mayo 2011, 17:26 pm »

Citar
Podrias usarla para atacar la web en cuestion

3 lineas mas abajo...

Citar
Asi que con toda la montada de un 'scam' y un poco de ingenieria social logre hacerme con unas 200 tarjetas de creditos

otras pocas mas abajo...
Citar
Lo que si, no sean lammers.

 ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-)

Por cierto, en unos posts anteriores he puesto la pregunta hecha y contestada directamente a delítos telemáticos. Con eso se resuelve la duda.
En línea

Killtrojan Syslog v1.44: ENTRAR
[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #17 en: 27 Mayo 2011, 17:30 pm »

No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD

Por cierto...  http://goo.gl/TG7kl    :-*

Saludos
« Última modificación: 27 Mayo 2011, 17:36 pm por [u]nsigned » En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #18 en: 27 Mayo 2011, 20:22 pm »

No sabía lo de DGT (sorry GDT, estoy acostumbrado a decir GC).

Gracias por la info :-P
En línea




Servia


Desconectado Desconectado

Mensajes: 346


Ver Perfil
Re: Deberia publicar una vulnerabilidad muy seria?
« Respuesta #19 en: 29 Mayo 2011, 09:51 am »

No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD

Por cierto...  http://goo.gl/TG7kl    :-*

Saludos

Atacar una web por diversión y contarlo es de lammers. Black hat serías si no dijeras nada, contarlo ta hace lammer, demuestra que necesitas contarlo, mostrar hasta donde has llegado.

Yo iría a la Agencia de protección de datos o hablaría de nuevo con GDT para que lo hicieran ellos.
En línea

Páginas: 1 [2] 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Que debería hacer?
Sugerencias y dudas sobre el Foro
-Ement- 1 2,420 Último mensaje 25 Julio 2007, 01:01 am
por BenRu
Paso lógico de Pascal a.....cual sería el lenguaje más actual al que se debería
Programación General
manu3742 1 2,898 Último mensaje 5 Abril 2011, 14:24 pm
por skapunky
Un investigador español detecta una seria vulnerabilidad en Facebook
Noticias
wolfbcn 1 2,450 Último mensaje 27 Julio 2011, 13:51 pm
por kub0x
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines