Deberia publicar una vulnerabilidad muy seria?

‭lipman · 26 Mayo 2011, 21:27 PM

Muy buenas a todo el mundo que quiera leer.

Hace semanas, unas cuantas.. descubrí una vulnerabilidad XSS en una página importante (de una multinacional, todos hemos oido hablar de ella, prefiero no dar nombres), pero no me quedé ahi.. seguí investigando. Descubrí que tiene un sistema de logue totalmente inseguro, no solo eso, si no que es explotable y demás.

He contactado con ello, me dijeron que lo arreglarian. No han hecho nada.
También le envié un mensaje al GDT (grupo de delitos telemáticos) y tuve el placer de hablar con Juan Salóm por teléfono durante un ratejo, comentándole este tema, diciéndole que empresa era, y donde estaba el fallo, incluso posteriormente les mandé otro mensaje detallando con total exactitud todo. Siguen sin haber arreglado nada.
Tambien incluso twitteé un poco con Chema Alonso y el twitter de SecByDefault (de ahi me dieron la idea de denunciar).

Sin duda, me gustaria publicar esta vulnerabilidad, que más que vulnerabilidad, lo convertiria como en un análisis de seguridad hacia esa página, ya que tendria mucho de qué hablar.

El caso es que tengo un poco de miedo: si contacté con el GDT es porque creo que, como dije anteriormente, hablo de una multinacional: juega con datos privados importantes básicamente.

Sabeis de algún caso similar que haya tenido repercusiones negativas? Creeis que podria pasarme algo? Que hariais vosotros?

La verdad que lo fácil es decir que no diga nada, pero no he estado parando de darle vueltas durante toodas estas semanas, y además de por el simple hecho de ser algo importante.. estoy muy a favor de reportar una vulnerabilidad y posteriormente publicarla. El caso es que es bastante explotable (a mi parecer) y no sé que repercusiones podria traer.

dimitrix · 26 Mayo 2011, 21:40 PM

Vamos a ver, yo, como MUCHOS de este foro hemos encontrado fallos importantes.

Yo por ejemplo descubrí un fallo en el cual podía borrar cualquier cuenta de Tuenti (sin XSS ni mierdas) y funcionó durante un año...

Luego también encontré fallos graves en una importante empresa de telecomunicaciones y tampoco dije nada...

Y luego encontré fallos en la SGAE, PSOE, E2000, etc... y por joder un rato lo publique...

Mi política es la siguiente: Si puede joder a personas inocentes que no tienen nada que ver con esto, no lo publico.

‭lipman · 26 Mayo 2011, 22:02 PM

La cosa es que me gustaria publicarlo una vez esté arreglado.. pero no lo arreglan, y quitando todo lo demás, me gustaria que lo arreglaran, ya que pone en peligro a miles de personas, por ello que contacté incluso con el GDT.

Me gustaria seguir intentando insistir en que lo arreglen, sin embargo pasan de mi culo, o eso parece. Incluso podria intentar hablar con el jefe de algun jefe de algun jefe, intentando llegar alto para que me oigan, o demostrar de alguna manera que es algo superserio.

=S

4rm4ndo · 26 Mayo 2011, 22:26 PM

Contacta con un periodista serio. No lo publiques en foros. Pasalo a gente de confianza por privado.

Saludos. Armando.

08l00D · 26 Mayo 2011, 22:46 PM

Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..

A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..

Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..

el-brujo · 26 Mayo 2011, 22:47 PM

no sé lo que haría, pero ni caso a lo que ha dicho Armando xD

Hay mucha gente que te puede aconsejar, ya has hablado con varios, pues ahora decide tu en función de lo que te hayan dicho y de los posibles riesgos que quieras asumir.

‭lipman · 26 Mayo 2011, 22:48 PM

Cita de: 08l00D en 26 Mayo 2011, 22:46 PM
Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..

A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..

Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..

WAT?

No sé si me has leido lo que he puesto, pero repito: he contactado con el jefe del GDT y con la compañia, y pasan de mi. No me creo "superkaker" ni nada, simplemente estoy diciendo que encontré una vulnerabilidad (un conjunto) muy grave y he pedido consejo .__.

4rm4ndo · 26 Mayo 2011, 23:00 PM

uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???

‭lipman · 27 Mayo 2011, 00:25 AM

Cita de: 4rm4ndo en 26 Mayo 2011, 23:00 PM
uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???

Ahi ahi, poniendo en compromiso a la gente xDDD

EvilGoblin · 27 Mayo 2011, 14:51 PM

Oh crea un blog anonimo y publicalo ahi con otro nombre ?=D x)..

pero obviamente ya estuvistes hablando con 1/2 españa asi que sabran que fuistes tu, hablar con los administradores de los sitios es muy molesto, ellos te ignoran completamente pensando que ellos saben mas que nadie.
Lo mejor seria hablar con una persona responsable del lugar (con mucho cuidado de lo que dices, pensaran que es una amenaza o extorsión), o enviar la noticia a alguna revista de informatica.