Historia real..

[trosky]

Recientemente he descubierto una vulnerabilidad en la pagina de una "empresa" conocida en el ambito nacional... el tema es que después de encontrar un bug que me permitia atacar a un script asp para descargar imagenes del panel de control, cambiandole la ruta me descargaba el fichero ASP con la configuración de la base de datos, luego con un ODBC enganchaba mi access y descubrí ventas a través de internet, base de datos de usuarios etc.

El caso es que los llamé y les conté que había descubierto este problema que me parecia muy grave, me comentan que tenian la semana liada pero que me llamaban.. les explico lo que les puede pasar si no lo corrigen...

¿creeis que han cambiado las claves? ninguna

¿creeis que me han llamado? noooop

Yo no entiendo a este pais.

[RaidMan]

A ningun administrador de sistemas le gusta oir lo inutil que es


Seguramente no lo han tomado en serio o no han sabido descubrir el bug. Si no te llaman ni te piden ayuda logicamente no tienes porque darles ningun analisis completo ni ninguna auditoria, y tampoco deberias dejarles un "regalito".


Lo mejor es dejar que las cosas sigan su curso, ya habra alguno con mas mala idea que tu, que decida que esa pagina no tiene porque quedar en pie con semejante bug.



Un saludo

[j8k6f4v9j]

Si a través de esas claves se puede accedera a información sensible (de terceros, personal, etc) se les puede incluso denunciar. Y las multas no son pequeñas.

Si no es así, bueno, ellos sabrán a lo que se arriesgan.

Salu2

[clarinetista]

Si a través de esas claves se puede accedera a información sensible (de terceros, personal, etc) se les puede incluso denunciar. Y las multas no son pequeñas.

Secundo la mocion, ya veras cuando les llegue un multon de puta madre firmado por la Agencia de Proteccion de Datos.


PD: Tema Movido

[trosky]

Bueno no es mi intención ni denunciarlos ni desearles ningún mal, pero el día que les hagan un destrozo mirarán para mi fijo.. y eso me toca las ***

[j8k6f4v9j]

El caso es que ellos no están evitando que les hagan un mal a sus usuarios, por lo que con tu denuncia no les haces un mal a ellos, sino que proteges los intereses de tus usuarios.

Además, si no me equivoco es incluso obligatorio denunciar (tras poner en conocimiento de los administradores) los sitios y aplicaciones web que vulneran la intimidad de sus usuarios, puesto que contravienen la ley.

Yo creo que simplemente con mencionar los artículos que no están respetando ya se conseguiría que implementasen algún mecanismo para impedir el acceso público a las credenciales de esa base de datos, por rudimentario que sea.

Hay muchas empresas que incluso destinan una parte de su presupuesto para contratar legalmente los servicios de gente (se nos ha dado el caso incluso a los miembros del staff de HH) para encontrar potenciales vectores de ataque a aplicaciones o sitios web públicos. Es decir, que les estás haciendo un favor y deberían saber agradecerlo, al menos arreglando el fallo.

Salu2