Saludos compañeros, antes que nada he de decir que he usado el botón de buscar, pero la única palabra clave que se me ocurría era legal y con el tema de MU y la sinde no hay modo de sacar nada en claro, si ya hay un tema abierto sobre lo que procedo a comentar háganmelo saber y si algún admin lo lee, que cierre el post.
A lo que iba, ¿qué hay de legal en la intrusión? Imaginemos que encontramos una web con una vulnerabilidad y que empezamos a investigar y llegamos a los datos de los clientes, usuarios o el nombre de tu perro "charlie". Si no llegas a difundir estos datos, ni alterar la base de datos o entorno de trabajo, ¿se consideraría ilegal?
Lo digo porque me imagino por ejemplo un banco ( físico, donde llevamos dinero pero nunca lo sacamos xD ) con dos puertas, en una hay un guardia de seguridad y en otra no hay nada. Ambas puertas conducen a una cantidad ingente de dinero, cualquier usuario del banco puede entrar por esa puerta, ver y llenarse los bolsillos de dinero ( ojalá.. ) pero se limitan a entrar, mirar e irse. ¿Podrían detenernos por ello?
Es más o menos lo que me ha pasado a mí, es una empresa que no conozco de nada y, sinceramente, me gustaría reportarles el error porque hay conocidos que usan ese servicio. ¿Se lo tomarán a mal? :p
Ahí queda la pregunta ( dejando atrás el código ético y blablabla ).
No es legal, sigue siendo una intrusión aunque no hagas uso de la información obtenida. Lógicamente no sería tan grave, porque no has hecho ningún mal uso de la información, y recuerda que siempre la última palabra la tiene el juez.
Hay muchas opiniones al respecto qué hacer cuando se encuentra una vulerabilidad, repotar, callar, denunciar, avisar, cuánto tiempo esperar a que lo arreglen, full disclosoure o no, etc.
Deberia publicar una vulnerabilidad muy seria?
http://foro.elhacker.net/foro_libre/deberia_publicar_una_vulnerabilidad_muy_seria-t328814.0.html
¿Security Through Obscurity o Full Disclosure?
http://foro.elhacker.net/hacking_avanzado/iquestsecurity_through_obscurity_o_full_disclosure-t36775.0.html
FAQ de Advisories
http://foro.elhacker.net/bugs_y_exploits/faq_de_advisories-t247917.0.html
Como dar el reporte de una vulnerabilidad?
http://foro.elhacker.net/nivel_web/como_dar_el_reporte_de_una_vulnerabilidad-t231936.0.html
Gracias brujo, has sido de gran ayuda. Tras leerme las páginas al final me decidí por consultar a la GDT. Les envié un correo consultando mi caso y estoy a la espera de una respuesta a ver si al final les mando el reporte o no.
Pd: tu avatar no era azul? qué de tiempo que no te veía xD