Deberia publicar una vulnerabilidad muy seria?

Iniciado por ‭lipman, 26 Mayo 2011, 21:27 PM

0 Miembros y 1 Visitante están viendo este tema.

skapunky

Ve con cuidado, porque aunque no hayas cometido ningún "delíto" la empresa te podría denunciar sin problemas, aquí en España el tema de pentester es algo complicado ya que urgaste sin un contrato o autorización.

Al no tener autorización para ello puedes meterte en un lío. Almenos hicíste bien de denunciarlo al GDT pero eso no quita que la empresa pueda denunciar.
Killtrojan Syslog v1.44: ENTRAR

dimitrix





flacc

desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos

‭lipman

Cita de: dimitrix en 27 Mayo 2011, 15:48 PM
No entiendo por que a la DGT...
xDD a la DGT no, al GDT (grupo de delitos telemáticos)

Cita de: mini_nauta en 27 Mayo 2011, 16:26 PM
desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos

Hmm, no creo que sea eso, porque realmente daño no hay ninguno, y a pesar de que puedas conseguir total acceso, no hablo de robar una base de datos ni nada por el estilo.

Muchas gracias chicos, da que pensar..

skapunky

Veo que mi respuesta tal como a entrado se ha ido para arriba, aquí te pongo la pregunta hecha a la GDT y contestada por ellos:

CitarHe descubierto una vulnerabilidad en una página web alojada en España, ¿puedo publicarla en mi blog?

Si la has descubierto es que la has probado, y con la última modificación del código penal, yo no lo aconsejaría. Nos podemos encontrar con un administrador de sistemas que no le gusta que le saquen lo colores y que convenza a la empresa para que denuncie.

Yo aconsejaría que nos utilicen, que nos informen del fallo par que nosotros se lo comuniquemos a los afectados. Con nosotros aún nadie se ha puesto gallito, además nuestros avisos van con la coletilla de que si la vulnerabilidad permite acceder a datos reservados, si en un plazo razonable no se subsana, se dará cuenta a la Agencia Española de Protección de Datos.

El publicarla en la web solo te va a reportar prestigio para ti, y vas a incitar a que los muchos curiosos que te leen, se dediquen a probar el fallo, y eso entiendo que "moleste" un poco.

Directo y calentito desde DGT GDT, ya tienes respuesta a tu pregunta inicial.
Killtrojan Syslog v1.44: ENTRAR

[u]nsigned

#15
Full Disclousure!

Podes publicar la vuln en secunia o algun sistema similar....ademas no se que te preocupa?

Podrias usarla para atacar la web en cuestion, es lo que yo haria. na vez descubri una RFI en site de homebancking del banco de aca.

Lo que hice fue alo parecido al carding xD. Ademas yo tenia una base de datos de unas 3000 mil perosnas que usaban dicho sistema (la misma la consegui gracias a mi anteior empleo). Asi que con toda la montada de un 'scam' y un poco de ingenieria social logre hacerme con unas 200 tarjetas de creditos (datos y clave de homebanking). Pero me detuve ahi, si le robaria al banco peor no a otross pobres laburantes como yo.

A lo que voy es que a veces se encuentran vulnerabilidades enormes en sitios inesperados.

Lo que si, no sean lammers. Si van a compometer un sistema que sea solo por curiosidd/diversion, nunca por maldad, venganza o intereses personales.

Saludos

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

skapunky

Citar
Podrias usarla para atacar la web en cuestion

3 lineas mas abajo...

CitarAsi que con toda la montada de un 'scam' y un poco de ingenieria social logre hacerme con unas 200 tarjetas de creditos

otras pocas mas abajo...
Citar
Lo que si, no sean lammers.

;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-)

Por cierto, en unos posts anteriores he puesto la pregunta hecha y contestada directamente a delítos telemáticos. Con eso se resuelve la duda.
Killtrojan Syslog v1.44: ENTRAR

[u]nsigned

#17
No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD

Por cierto...  http://goo.gl/TG7kl    :-*

Saludos

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!

dimitrix

No sabía lo de DGT (sorry GDT, estoy acostumbrado a decir GC).

Gracias por la info :-P




Servia

[quote author=nsigned link=topic=328814.msg1619407#msg1619407 date=1306510203]
No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD

Por cierto...  http://goo.gl/TG7kl    :-*

Saludos
[/quote]

Atacar una web por diversión y contarlo es de lammers. Black hat serías si no dijeras nada, contarlo ta hace lammer, demuestra que necesitas contarlo, mostrar hasta donde has llegado.

Yo iría a la Agencia de protección de datos o hablaría de nuevo con GDT para que lo hicieran ellos.