Mas que un bug o vulnerabilidad una imbecilidad

Iniciado por jdc, 19 Noviembre 2009, 05:29 AM

0 Miembros y 2 Visitantes están viendo este tema.

jdc

Bueno andaba viendo mis puntos circulomas xDDDDD (quien sea chileno tal vez lo entienda) y me encontre con una hermosa sorpresa...

Al ingresar mi rut en http://www.circulomas.cl/ me equivoque  :xD

y a que no adivinan que paso  :¬¬ me salio con el rut el nombre completo de otra persona, ustedes diran que es una estupidez no? pues lo simpatico es que nuestros datos estan a la vista de cualquier imbecil que sepa que el rut se valida con la "-X" con un simple algoritmo disponible en internet, si alguien quiere le paso un programa que hice hace tiempo para saber el digito verificador del rut.


El problema... La pagina entrega Nombre completo + rut + numero de puntos circulomas por lo que se subentiende que tiene tarjeta mas xDDDDD, con dos dedos de frente consigo el telefono de esta persona, lo llamo + un poquito de ingenieria social y lo estafo, todo gracias a CencoSud... Ahora la pregunta del millon ;) Alguien en tu casa tiene tarjeta mas? xDDDDDDD

No borren este mensaje porfavor es solo para informar y...

Que viva:


Castg!

jajaj! tremendfo! eso es tipico, no hay web con diseño bueno y codigo seguro. avisaste no?

WHK

aah yo trabajé en la competencia un tiempo atras ;D

es algo similar a lo que pasa con las tarjetas bip, si le sabes el rut puedes saber por donde se ha movido todos estos dias, y asi puedes saber si tu novia te engaña y se pasa a la casa de su ex xDDDDDDD

Bueno, me uno a la campaña de google: "Don't be evil"

Ahora me gustaría preguntarte janito... yo como programador de un sistema web, como debo solucionar o evitar esto? sería una buena pregunta para que los demás no cometan este tipo de fallas.

jdc

WHK no se sí es ironia xD lo que preguntas pero es fácil :)

Sí miras tú carnet de identidad tiene un número de serie que sería muy fácil de preguntar a la hora de que el usuario consultará sus puntos, y sí piensas que es complicado pues sólo pide la fecha de nacimiento, es obvio que el dueño de un rut debe saber su fecha de nacimiento o el número de serie del carnet.

Y sobre el sistema, te bloquea sí consultas 3 o 4 ruts inválidos, pero extrañamente no limita el número de ruts correctos consultados :)

WHK

Yo ademas de el rut en ves de pedir la fecha de nacimiento solicitaría un numero de serie que pueda darse via telefono si lo solicitas ya que de esta manera si no sabes tu clave no podrás entrar a ver los puntos de los demas y con opcion de cambiar esa clave desde la misma web sin limitar la cantidad de carácteres.

Para alguien simple de casa como una señora no creo que no pueda anotar 5 o 6 carácteres y si no puede hacerlo es porque tampoco sabe usar una pc para consultarlo xD y que ese codigo no pueda ser dado via mail porque cualquiera puede dar un mail que no le corresponda al dueño de la cuenta y ya.

jdc

Recuerda... Algo importante a la hora de programar es hacerlo para "weones" para ti o la mayoría aquí el registrar una cuenta, cambiar una clave, borrar una cuenta o lo que sea son cosas cotidianas. Para la mayoría de la gente no :)

Además complicas demasiado enviando un código por teléfono ya que cualquiera mirará como un trámite simple y sí tiene que llamar para conseguir un número lo dejara así.

Mira:

7.728.358

Ese es un rut, la raya se puede sacar, pero como consigues la fecha de nacimiento?