Deberia publicar una vulnerabilidad muy seria?

‭lipman · 9 Diciembre 2011, 10:57 AM

Al final, ayer mismo lo hice.

http://delanover.com/2011/12/08/descuido-en-vodafone-es-permite-acceder-a-cualquier-cuenta-de-usuario-y-obtener-datos-de-cualquier-telefono/

dimitrix · 9 Diciembre 2011, 15:29 PM

lipman me gustó mucho, encontré ese fallo en varias compañías telefónicas y con la clave de seguridad (no pin) de un banco.

‭lipman · 9 Diciembre 2011, 16:08 PM

Muchas gracias por el comentario =)

Dos palabras: Viva España

dimitrix · 9 Diciembre 2011, 17:01 PM

Ya te digo.

Una vez encontré serias vulnerabilidades en una empresa española (poco conocida) y cuando se lo comenté me contestaron 'Imposible, tenemos los mejores informáticos del mundo'.

Aunque incluso las grandes también tienen (aunque tardan poco en solucionarlo), ayer mismo encontré un XSS en Oracle.

‭lipman · 9 Diciembre 2011, 23:04 PM

lol, eso es para decirle "ole tus cojones".

Yo recuerdo que reporté una, y me contestaron en plan "ayy que genial que haya gente que reporte vulnerabilidades así, de forma voluntaria bla bla bla" totalmente happy, que me hizo hasta alegrarme xD y luego me di cuenta de que no los habian solucionado.

Pero bueno, este es el mundo en el que vivimos, y al final el post ha tenido toda la trascendencia que he querido que tenga (no mucha, pero tampoco nula). Ahora quedará en el aire, y yo "estaré libre"... tenia ganas de publicarlo.

Un saludo

..:ALT3RD:.. · 9 Diciembre 2011, 23:32 PM

A mi me gustaría encontrar también vulnerabilidades en alguna pagina web importante algún día y llamar diciendo: tienen un fallo aqui , aqui y aqui. No sé... me haría sentirme importante

‭lipman · 9 Diciembre 2011, 23:35 PM

Pues ya has visto para lo que sirve, para nada. Bueno, no, algún dolor de cabeza te puede dar.

..:ALT3RD:.. · 9 Diciembre 2011, 23:38 PM

Aunque no sirva para mucho, al menos te quedará la satisfacción personal. Aunque supongo que a partir de la 2 vez de sacar vulnerabilidades eso ya va perdiendo valor.

jdc · 10 Diciembre 2011, 00:02 AM

XD muy bueno, yo la última vez que reporte un fallo les dije: Pasado mañana las 12 hora chilena les destruyo la página.

El mensaje acompañaba las vulnerabilidades encontradas y no pude juankearlos u.u

cker · 10 Diciembre 2011, 01:51 AM

CitarVe con cuidado, porque aunque no hayas cometido ningún "delíto" la empresa te podría denunciar sin problemas, aquí en España el tema de pentester es algo complicado ya que urgaste sin un contrato o autorización.

Al no tener autorización para ello puedes meterte en un lío. Almenos hicíste bien de denunciarlo al GDT pero eso no quita que la empresa pueda denunciar.

pienso que skapunky tiene toda la razon. es como si te metieras a una casa sin autorizacion, aunque no robaras nada estarias cometiendo un delito.
si lo empiesas a publicar los vas aperjudicar mas, pues le vas a hacer publicidad a su vulnerabilidad.
si ya les avisate a ellos o alas autoridades pues ya. lo demas no es tu cuento, ellos son los que se arriesgan o pierden tu ya nada.
p.d.
ja yo si tengom muchas vulnerabilidades cuando hice este comentario solo habia leido la hoja 1.
saludos