Descubre la mayor vulnerabilidad de la historia de BitTorrent y la compañía no..

Iniciado por wolfbcn, 2 Agosto 2013, 14:18 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

La pasada primavera un particular detectó un grave fallo en BitTorrent que podía haber costado muy caro a la compañía. Tras reportarlo, la responsable de la red P2P decidió ignorar la petición del usuario para cobrar una cantidad justa por la información. Ante ello ha optado ahora por publicar todos los detalles de la vulnerabilidad.

A pesar de que los fallos en el sector informático y tecnológico están a la orden del día, el caso que nos ocupa es especialmente llamativo. Es frecuente que las grandes compañías acaben recompensando a aquellos usuarios que reportan vulnerabilidades, pero la última noticia publicada en Torrentfreak deja en entredicho a los responsables de BitTorrent, que no supieron hacer lo propio con el particular que les comunicó el que probablemente sea el mayor fallo detectado desde la creación de una empresa con más de 150 millones de usuarios al mes.

Dicha cantidad nos lleva a imaginar las tremendas consecuencias que podría haber tenido dicha vulnerabilidad en caso de haber sido descubierta por alguien con intenciones maliciosas. No fue el caso de MentaL, administrador de RaGEZONE, encargado de detectar por casualidad el fallo mientras buscaba un proveedor de hosting para un amigo.

En su búsqueda se topó con el panel de control de Jenkins de BitTorrent, que acabó siendo la puerta de entrada a una ingente cantidad de información altamente confidencial almacenada por la compañía. "Olvidaron incluir una contraseña para administrar el panel desde el cual se tenía acceso a la cuenta principal", explica MentaL. "Cualquiera que tuviese el acceso que yo tuve podía haber robado el código fuente de todos los productos BitTorrent y más. Por ejemplo, si fuese un idiota podía haber modificado la actual versión con una actualización que incluyese un virus y destruyese todo el contenido de los usuarios que la instalasen", destacó.

Esto nos da una idea del potencial alcance de esta vulnerabilidad, que también hubiese servido para revelar información confidencial y financiera sobre BitTorrent Inc. Sin embargo, la decisión de MentaL fue comunicárselo a la compañía sin actuar con malicia, ante lo que le respondió agradecida y prometiéndole una recompensa económica. La primera cantidad ofrecida fue de 500 dólares, que el usuario no tardó en rechazar por lo baja de la misma.

No en vano, el propio cliente había comprobado los balances económicos de la compañía y vio cómo se habían producido ofertas de trabajo con salarios de 150.000 dólares al año, lo que le sirvió para hacerse una idea de las cantidades que maneja BitTorrent y la escasa recompensa que pretendían darle. "Ingresan millones al año en concepto de publicidad y nunca hice nada malo con la información que tenía, por lo que me siento insultado", sentenció a la par que hizo público su caso a través del citado portal en señal de descontento.

Fuente: Torrentfreak

http://www.adslzone.net/article12232-descubre-la-mayor-vulnerabilidad-de-la-historia-de-bittorrent-y-la-compania-no-le-recompensa.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

ccrunch

Como curiosidad, si alguien se hubiera copiado el código fuente y más cosas, sería un delito?

Si el panel no tenía ni contraseña ni nada.

WHK

Legalmente no sería un acto ilegal porque el panel no tiene contraseña, por ende todo su contenido es público y de libre acceso, no se considera un contenido privado porque no hay ninguna restricción.

Esta persona que encontró la gvulnerabilidad le va a servir para madurar y saber la proxima ves que hacer con la información que tiene, no todas las empresas entienden de seguridad informática y mucho menos pagan por ello, no siempre vale la pena calentarse la cabeza reportandole fallas a empresas como estas.

Por ejemplo en lo general yo busco fallas a los productos de las compañías que si se que dan dinero :P, el resto ni me doy el tiempo de mirarlos a menos que sea por necesidad o meta propia, pero nada de reportes.

Un ejemplo práctico:
http://foro.elhacker.net/hacking_avanzado/acceso_a_la_red_local_del_servidor_de_yahoo_a_traves_de_yahoo_ql-t394062.0.html

ccrunch

WHK, no entiendo muy bien cómo has sacado lo de yahoo y qué gravedad tiene. En tu post das varias direcciones que se pueden acceder, esas las reemplazas en la parte que va después de select * from htmlwhere utl="XXXXXXXXXXXXX" ?

Yo lo he puesto así y me sale el XML pero no se interpretar la información que me da, bueno sí, pero dices "pasearse por sus servidores internos", y no hay forma de entrar.

Salu2

PD: lo del tio de bittorrent, es tremendo  :xD yo 1º me copiaba codigo fuente y documentos, y luego ya verás como pagan  >:D