Nov 28
Después de estar poniendo a prueba los sistemas de la compañía telefónica PepePhone, creada por AirEuropa en su línea ‘Pepe’, suspenden totalmente en la seguridad informática.
Aquí indicamos los principales fallos:
- No encriptación de Password, al contrario que todas las compañías normales que transforman la contraseña en un Hash MD5 o SHA1, pepephone las conserva en texto plano.
- Cambio de contraseña sin autorización del usuario. En muchos sistemas cuando seleccionas ‘He olvidado la contraseña’, te envían un enlace al email para poder cambiar la contraseña, pero no se te envía una contraseña nueva normalmente. La razón por la que no se envía (como le pasaba antes a Tuenti) es que ninguna otra persona cree un programa que genere una contraseña diferente de tú cuenta cada 5 minutos, pues bien, pepephone es vulnerable, se generan contraseñas aleatorias.
- Y el tercero y más importante es que en ciertas páginas se encuentra en el código fuente la contraseña en texto plano, por ejemplo en el apartado “Progama Habla y Vuela“.
En este Código fuente:
Tagged with: contraseña • pepephone • Seguridad • vulnerable
Sep 15
Hoy empiezan las clases y se han realizado cambio en Tuenti, logicamente como todos los cambios importante se han dejado fallos de seguridad muy importantes, ahora mismo el cuadro de búsqueda es vulnerable a XSS.
Este fallo ha sido avisado a uno de los responsables de Tuenti.
Sep 02
El otro día llegó a mis manos esta cámara espía en forma de llavero:
Pues esta cámara espía que se vende por 15€ es capaz de realizar videos de 720 líneas, a una calidad extraordinaria con sonido, además también puede hacer fotos.
Sinceramente es un gadget de esos que ves una vez a los mil, por lo menos, por lo barato que está.
La tienda que lo vende (www.seimporta.com) ha creado una página en facebook y se la regala a los fans según las bases, dejo la página del facebook: http://www.facebook.com/pages/SeImportacom-Gadgets-a-tu-alcance/151214304907367
May 30
Bueno, vereis, hará casi un año me hice unas cuentas para hacer experimentos y ver los filtros de Tuenti en cuanto a SPAM (calificables como penosos).
Mi mayor sorpresa fue, que como entendible tenía que poner una fecha de cumpleaños y al tener agregado a personas que no conocía de nada, pues digo yo que no me felicitaría nadie, pero…
Realmente si que lo hicieron, en cada cuenta tenía unas 200 personas y aquí estan los resultados.
Cuenta número 1 (Perfil de chica):
Consiguió un 3’7% de felicitaciones de personas que le desconocían.
Cuenta número 2 (Perfil de chico):
Consiguió un 6% de felicitaciones de personas que le desconocían (El 100% de chicas).
Interesante datos e importante para realizar un buen ataque de spam.
¡Be happy!
Mar 09
Con tanto Drama por parte de Google de ayudas al tercer mundo, que realmente me parece más que lo hagan para darse promoción ellos mismos a su aplicación CheckOut, que está quedando Obsoleta ante Paypal.
Pues si entramos en:
http://www.google.com/intl/es/relief/chileearthquake/
Veremos que tenemos un pequeño Banner de busquedas de personas que pertenece a:
http://chilepersonfinder.appspot.com/ Perteneciente a: https://appengine.google.com/
Pues podemos ver que en la variable de idioma ‘lang’ no se encuentra filtrada:
Mar 05
La gente no es consciente de la baja privacidad que proporciona Internet, redes sociales, foros, chats pueden llegar a desprender mucha información privada de las personas y ahora gracias a Tuenti ¡Con Fotos!
Y lo peor es que cada vez hace falta saber menos ‘informática’ para “espiar” a otras persona, un ejemplo es el siguiente:
Visitando 20minutos nos encontramos con la siguiente noticia: http://www.20minutos.es/noticia/617077/5/
La obligan a estudiar de nuevo 1º de Bachillerato cuando ya estaba en 2º curso
Ana Rincón no le ha quedado más remedio que abandonar sus estudios, al menos por el momento. Y es que su instituto- el IES Cardenal Cisneros de Madrid- acaba de informarle, casi a mitad de curso, de que deberá repetir todas las materias del año anterior.
Y no fue difícil, con una busqueda me salió ella, no había duda:
Y claramente “nos agregó” y pudimos ver su número de teléfono, amigos, fotos, opiniones, blogs…
Feb 18
Bueno, encontré un pequeño XSS parcial en la parte de invitaciones web, esto se permite por un mal escape (realmente penoso) de la variable email (se envia por POST), curiosamente en el enlace “editar la invitación” si está escapada bien (si es que estos de tuenti, menos jugar y más progamar):
El code usado: seguridad@dimitrix.es<br><img src=http://i214.photobucket.com/albums/cc173/dimitrix-es/dexter.png>
Un saludo y gracias por leerme a todos!
Feb 12
Llegamos a los 10.000
Sin duda, daros las gracias a todos los visitantes, a todos los que nos siguen (que hay gente y todo jajaja), bueno y decir que la próxima publicación será sobre un proyecto que me llevo entre manos y que ya está casi finalizado, le llamo “Distrito Web” y se trata de hacer una web y que esa web pueda habilitarse para varios dominios apuntados y dependiendo del dominio salga el título, la descripcio, los links, el banner, un dominio u otro, un ejemplo de lo que digo es:
www.sealkila.net
www.copomusica.es
Así que dentro de poco ya publicaré el código.
Un saludo y gracias por estar ahí.
Att: Dimitrix
