Autor
|
Tema: Deberia publicar una vulnerabilidad muy seria? (Leído 12,970 veces)
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Ve con cuidado, porque aunque no hayas cometido ningún "delíto" la empresa te podría denunciar sin problemas, aquí en España el tema de pentester es algo complicado ya que urgaste sin un contrato o autorización.
Al no tener autorización para ello puedes meterte en un lío. Almenos hicíste bien de denunciarlo al GDT pero eso no quita que la empresa pueda denunciar.
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
dimitrix
|
No entiendo por que a la DGT...
|
|
|
En línea
|
|
|
|
flacc
|
desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos
|
|
|
En línea
|
|
|
|
lipman
|
No entiendo por que a la DGT...
xDD a la DGT no, al GDT (grupo de delitos telemáticos) desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos
Hmm, no creo que sea eso, porque realmente daño no hay ninguno, y a pesar de que puedas conseguir total acceso, no hablo de robar una base de datos ni nada por el estilo. Muchas gracias chicos, da que pensar..
|
|
|
En línea
|
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Veo que mi respuesta tal como a entrado se ha ido para arriba, aquí te pongo la pregunta hecha a la GDT y contestada por ellos: He descubierto una vulnerabilidad en una página web alojada en España, ¿puedo publicarla en mi blog?
Si la has descubierto es que la has probado, y con la última modificación del código penal, yo no lo aconsejaría. Nos podemos encontrar con un administrador de sistemas que no le gusta que le saquen lo colores y que convenza a la empresa para que denuncie.
Yo aconsejaría que nos utilicen, que nos informen del fallo par que nosotros se lo comuniquemos a los afectados. Con nosotros aún nadie se ha puesto gallito, además nuestros avisos van con la coletilla de que si la vulnerabilidad permite acceder a datos reservados, si en un plazo razonable no se subsana, se dará cuenta a la Agencia Española de Protección de Datos.
El publicarla en la web solo te va a reportar prestigio para ti, y vas a incitar a que los muchos curiosos que te leen, se dediquen a probar el fallo, y eso entiendo que “moleste” un poco. Directo y calentito desde DGT GDT, ya tienes respuesta a tu pregunta inicial.
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Full Disclousure!
Podes publicar la vuln en secunia o algun sistema similar....ademas no se que te preocupa?
Podrias usarla para atacar la web en cuestion, es lo que yo haria. na vez descubri una RFI en site de homebancking del banco de aca.
Lo que hice fue alo parecido al carding xD. Ademas yo tenia una base de datos de unas 3000 mil perosnas que usaban dicho sistema (la misma la consegui gracias a mi anteior empleo). Asi que con toda la montada de un 'scam' y un poco de ingenieria social logre hacerme con unas 200 tarjetas de creditos (datos y clave de homebanking). Pero me detuve ahi, si le robaria al banco peor no a otross pobres laburantes como yo.
A lo que voy es que a veces se encuentran vulnerabilidades enormes en sitios inesperados.
Lo que si, no sean lammers. Si van a compometer un sistema que sea solo por curiosidd/diversion, nunca por maldad, venganza o intereses personales.
Saludos
|
|
« Última modificación: 27 Mayo 2011, 17:20 pm por [u]nsigned »
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir!
|
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD Por cierto... http://goo.gl/TG7kl Saludos
|
|
« Última modificación: 27 Mayo 2011, 17:36 pm por [u]nsigned »
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir!
|
|
|
dimitrix
|
No sabía lo de DGT (sorry GDT, estoy acostumbrado a decir GC).
Gracias por la info :-P
|
|
|
En línea
|
|
|
|
Servia
Desconectado
Mensajes: 346
|
No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD Por cierto... http://goo.gl/TG7kl Saludos Atacar una web por diversión y contarlo es de lammers. Black hat serías si no dijeras nada, contarlo ta hace lammer, demuestra que necesitas contarlo, mostrar hasta donde has llegado. Yo iría a la Agencia de protección de datos o hablaría de nuevo con GDT para que lo hicieran ellos.
|
|
|
En línea
|
|
|
|
|
|