Vulnerabilidad encontrada en una gran empresa

El caso es que estaba probando unas herramientas de SQL Injection (no tengo mucha idea del tema pero me gusta trastear un poco [poraki] ) y llegué a una página de una empresa muy grande. Me dio por probar si era vulnerable. BINGO. Accedí a una base de datos bastante grande. Empecé a sacar las tablas y todo y llegué a información muy sensible como DNIs, telefonos, direcciones de e-mail y hasta direcciones de empresas y personas. Lo bueno viene ahora. Esto fue como hace 1-2 meses y contacté con ellos vía e-mail anónimo (por si las moscas) avisando lo que encontré. Hace dos días intenté de nuevo y veo que no han hecho nada.

No se si me ignorarían o que pero me gustaría avisarles de nuevo. Alguna idea de cómo hacerlo sin meterme en ningun lio?
Lo que haría yo si se diese el caso o pensara que me podría meter en un problema....

1. Contactar de cualquier forma posible con la empresa y tratar de que solucionaran el problema de forma amistosa.

2. En caso de que no contestaran por ninguna vía: Denunciarlo a la LOPD.

3. Dejarlo estar y pasar de todo.

Salu2
Demasiado has hecho ya, si quieren, que lo arreglen, si no ya vendrá una hacker ruso.
Otra opción es denunciarlos por no guardar la lopd.
fidillo escribió:
3. Dejarlo estar y pasar de todo.

Salu2

De las opciones que me has dado creo que es la mejor. No quiero empezar con denuncias y historias y menos que me metan en algun marron.

Intentaré contactar con ellos otra vez y si no pues mira, peor para ellos.

Gracias y saludos
berez12 escribió:El caso es que estaba probando unas herramientas de SQL Injection (no tengo mucha idea del tema pero me gusta trastear un poco [poraki] ) y llegué a una página de una empresa muy grande. Me dio por probar si era vulnerable. BINGO. Accedí a una base de datos bastante grande. Empecé a sacar las tablas y todo y llegué a información muy sensible como DNIs, telefonos, direcciones de e-mail y hasta direcciones de empresas y personas. Lo bueno viene ahora. Esto fue como hace 1-2 meses y contacté con ellos vía e-mail anónimo (por si las moscas) avisando lo que encontré. Hace dos días intenté de nuevo y veo que no han hecho nada.

No se si me ignorarían o que pero me gustaría avisarles de nuevo. Alguna idea de cómo hacerlo sin meterme en ningun lio?

Pero ahora no nos dejes a medias, quien fue la afortunada ? [angelito] [angelito] [angelito] [angelito] [angelito] kajajajajaja
saludos!
luispica escribió:
berez12 escribió:El caso es que estaba probando unas herramientas de SQL Injection (no tengo mucha idea del tema pero me gusta trastear un poco [poraki] ) y llegué a una página de una empresa muy grande. Me dio por probar si era vulnerable. BINGO. Accedí a una base de datos bastante grande. Empecé a sacar las tablas y todo y llegué a información muy sensible como DNIs, telefonos, direcciones de e-mail y hasta direcciones de empresas y personas. Lo bueno viene ahora. Esto fue como hace 1-2 meses y contacté con ellos vía e-mail anónimo (por si las moscas) avisando lo que encontré. Hace dos días intenté de nuevo y veo que no han hecho nada.

No se si me ignorarían o que pero me gustaría avisarles de nuevo. Alguna idea de cómo hacerlo sin meterme en ningun lio?

Pero ahora no nos dejes a medias, quien fue la afortunada ? [angelito] [angelito] [angelito] [angelito] [angelito] kajajajajaja
saludos!

Si lo digo si que puedo tener una buena movida XD
berez12 escribió:
luispica escribió:
berez12 escribió:El caso es que estaba probando unas herramientas de SQL Injection (no tengo mucha idea del tema pero me gusta trastear un poco [poraki] ) y llegué a una página de una empresa muy grande. Me dio por probar si era vulnerable. BINGO. Accedí a una base de datos bastante grande. Empecé a sacar las tablas y todo y llegué a información muy sensible como DNIs, telefonos, direcciones de e-mail y hasta direcciones de empresas y personas. Lo bueno viene ahora. Esto fue como hace 1-2 meses y contacté con ellos vía e-mail anónimo (por si las moscas) avisando lo que encontré. Hace dos días intenté de nuevo y veo que no han hecho nada.

No se si me ignorarían o que pero me gustaría avisarles de nuevo. Alguna idea de cómo hacerlo sin meterme en ningun lio?

Pero ahora no nos dejes a medias, quien fue la afortunada ? [angelito] [angelito] [angelito] [angelito] [angelito] kajajajajaja
saludos!

Si lo digo si que puedo tener una buena movida XD


es cierto, pero ahora me quedo con el gusanillo ¬_¬ ¬_¬ jajajajaja
Buenas,
pues inténtalo de nuevo diciéndoles que si no te pondrás en contacto con algún blog de temas de seguridad importante a nivel nacional.
Ya veras como si hacen caso.
Pd: Encima de avisarles, tienes que tener miedo, te entiendo, pero te tendrían que recompensar, pues si ves las multas de lopd, se ahorran un pastizal.
Pd2: Podrías decirnos como aprendiste a hacer esos sql inyection, sin desvelar datos ajenos.
Pd3: Las pruebas no las harías desde casa no?.
nombre de la empresa o reporte xddd como te han dicho espero que no lo hayas hecho desde tu casa, y si quieres que lo sepa todo el mundo,diselo al rey juan carlos,seguro que lo casca en 0 coma Jajaja
Si has utilizado un programa que analiza y va probando tienes que saber que es ilegal y deja rastro.

Sobre los datos, si no lo solucionan hazlo público,o se dan prisa o sanción.
lwordl escribió:Si has utilizado un programa que analiza y va probando tienes que saber que es ilegal y deja rastro.

Sobre los datos, si no lo solucionan hazlo público,o se dan prisa o sanción.


Sí, pero si lo hace público pueden acusarle de intrusión.
Es como si tu ves una casa con la puerta abierta, entras y ves que hay cosas de valor. Vas a la policia y les dices. hoygan, que he entrado en la casa porque hay una puerta abierta y he visto que hay cosas de valor. Según la ley, estás cometiendo un delito, aunque el sentido común diga lo contrario.
suskie escribió:
lwordl escribió:Si has utilizado un programa que analiza y va probando tienes que saber que es ilegal y deja rastro.

Sobre los datos, si no lo solucionan hazlo público,o se dan prisa o sanción.


Sí, pero si lo hace público pueden acusarle de intrusión.
Es como si tu ves una casa con la puerta abierta, entras y ves que hay cosas de valor. Vas a la policia y les dices. hoygan, que he entrado en la casa porque hay una puerta abierta y he visto que hay cosas de valor. Según la ley, estás cometiendo un delito, aunque el sentido común diga lo contrario.


Hombre, cuando he dicho hacerlo publico no me referia a la policia, si no colgarlo en algun foro o portal de noticias para que corriera la voz y se dieran mas prisa o en su caso una sanción.
Es igual. Si quieren ir a por ti, irán.
Mi consejo... que les den.
Eso o vende los datos y sácate unas perrillas.
segundomercadillo escribió:Pd: Encima de avisarles, tienes que tener miedo, te entiendo, pero te tendrían que recompensar, pues si ves las multas de lopd, se ahorran un pastizal.

A eso creo que se le llama extorsión, y no suena muy... legal xD

Si simplemente quiere hacer el favor, ya lo ha hecho. En todo caso puede llamar pero allá él.
De todas formas si solo quieres probar estas cosas, lo más sencillo sería montarte un ordenador a parte funcionando como servidor para hacer estas cosas. Que luego pasan cosas y el que tiene las papeletas de pillar es el que no sabe lo que está haciendo.
rintin escribió:
segundomercadillo escribió:Pd: Encima de avisarles, tienes que tener miedo, te entiendo, pero te tendrían que recompensar, pues si ves las multas de lopd, se ahorran un pastizal.

A eso creo que se le llama extorsión, y no suena muy... legal xD

Si simplemente quiere hacer el favor, ya lo ha hecho. En todo caso puede llamar pero allá él.
De todas formas si solo quieres probar estas cosas, lo más sencillo sería montarte un ordenador a parte funcionando como servidor para hacer estas cosas. Que luego pasan cosas y el que tiene las papeletas de pillar es el que no sabe lo que está haciendo.


Si no pones en negrita las líneas centrales estás tergiversando lo que esa persona ha querido decir.
No es nada extraño que las compañías compensen económicamente a las personas que descubren problemas de seguridad. Es una forma de evitar que esas vulnerabilidades acaben en malas manos. Otra cosa es que las compensaciones sean una mierda. Microsoft pagó con un cheque de 100$ para comprar en la Live Store a un padre que notificó que su hijo había descubierto un exploit para acceder a cualquier cuenta de xbox.

Extorsión sería decirles que te paguen o que Venderás el exploit, los datos o algo parecido.
Melias escribió:
rintin escribió:
segundomercadillo escribió:Pd: Encima de avisarles, tienes que tener miedo, te entiendo, pero te tendrían que recompensar, pues si ves las multas de lopd, se ahorran un pastizal.

A eso creo que se le llama extorsión, y no suena muy... legal xD

Si simplemente quiere hacer el favor, ya lo ha hecho. En todo caso puede llamar pero allá él.
De todas formas si solo quieres probar estas cosas, lo más sencillo sería montarte un ordenador a parte funcionando como servidor para hacer estas cosas. Que luego pasan cosas y el que tiene las papeletas de pillar es el que no sabe lo que está haciendo.


Si no pones en negrita las líneas centrales estás tergiversando lo que esa persona ha querido decir.
No es nada extraño que las compañías compensen económicamente a las personas que descubren problemas de seguridad. Es una forma de evitar que esas vulnerabilidades acaben en malas manos. Otra cosa es que las compensaciones sean una mierda. Microsoft pagó con un cheque de 100$ para comprar en la Live Store a un padre que notificó que su hijo había descubierto un exploit para acceder a cualquier cuenta de xbox.

Extorsión sería decirles que te paguen o que Venderás el exploit, los datos o algo parecido.

Lo que esa persona ha querido decir solo lo sabe ella. El resto podemos entender cada uno una cosa xD De todas formas lo he dicho más en tono de humor que otra cosa.

Eso depende más bien si llegado el caso tu abogado es mejor que el de la otra parte xD
Con famosillos es típico. Alguien dice algo que no debe, el otro contesta con un "si no lo retiras/loquesea te denuncio". Y ser el otro denunciado porque esa frase supone chantaje en si misma y tontunas por el estilo (que desconozco si llegan a donde pretenden luego o no).

No pretendía poner mal al usuario, simplemente que si quiere ir de buenas y no meterse en fregados después de eso, tampoco que se vaya al "pues ten
Por experiencia personal, comunicaría esa vulnerabilidad al Grupo de Delitos Telemáticos de la Guardia Civil. Tienen a gente sobradamente formada en el tema y saben a quien llamar. Eso sí, no esperes una palmadita en la espalda como hayas hecho algo mas que echar un vistazo.

Respecto a las recompensas o Bug Bounty Programs por encontrar fallos en servicios de empresas importantes, estos aun están bastante verdes en España y lo más probable es que la empresa te termine denunciando si contactas con ellos directamente y se vean mínimamente amenazados o chantajeados (aunque vayas de buenas)

También tienes a los CERT como el INCIBE (antiguo Inteco) pero suelen tardar más que la Guardia Civil.

Tu decides pero yo siempre abogo por el Responsible Disclosure.

Saludos
Yo de esto no entiendo mucho, pero creo que te has metido tu solo en un lio. Yo guardaria como oro en paño el mail que les has mandado, mandaria otro explicando que estas estudiando eso y probando, sin querer has encontrado ese fallo en su seguridad y que vas a avisar a delitos telematicos (este mail tambien lo guardas) de que ha sido sin intencion de hacer daño.
Y a dormir tranquilo.
Muchas gracias a todos. Al final les he dicho de buenas (otra vez) que tienen suerte que haya encontrado yo la vulnerabilidad y que les estoy avisando. Ellos verán qué hacen pero por mi parte esto ha terminado. He estado pensando en denunciar pero esas movidas no me van XD si no lo arreglan y alguien les putea, que se jodan.

Salu2 [beer]
18 respuestas