Seguridad Dimitrix

Seguridad informática

May 24

Spotify sin límites

Bien, puesto que muchos usuarios usan ‘Spotify’ y ahora se han tenido que ‘aguntar’ por que lo han limitado, os mostraré un pequeño ‘truco’ para tener horas ilimitadas.

Y más que truco son ‘fallos’ que Spotify comete y que nos facilitan crear multi cuentas con un script.

Vamos a ver, para empezar hace falta saber las limitaciones de Spotify: 20 horas al mes de música gratuita.

Genial, la pregunta es ¿Por qué no hacerse varias cuentas? Las razones principales son las siguientes:

- Por que perdemos nuestra biblioteca de música y es un coñazo ‘crearla en cada cuenta’

- Por que tardas mucho en crear muchas cuentas, además de lo que necesitas emails

- Por que pueden bloquear por IP

- Es difícil y molesto organizarse las cuentas
Pues vale, vamos por partes:

Por que perdemos nuestra biblioteca de música y es un coñazo ‘crearla en cada cuenta’

Ciertamente si tenemos 5 cuentas de Spotify en cada una tendriamos música diferente ‘pero…’ gracias a que Spotify quiere ser más ‘social’, se puede compartir la bibliotecas.

Gracias a esto, tendremos una cuenta principal (por ejemplo) Cuenta01 en la cual tendremos nuestra música, nuestra biblioteca.

Entonces lo que hacemos es copiar el vínculo HTTP o el URI (Dirección interna), gracias a la cual la pondremos en otras cuentas spotify y si modificamos la cuenta Cuenta01 se modificarán las cinco.

Por que tardas mucho en crear muchas cuentas, además de lo que necesitas emails

Bien, realmente hemos hecho una prueba y hemos tardado 31 segundo para crear una cuenta ¿Por qué?

Gracias a los buenos de Spotify no hacen una validación de correo electrónico por lo que puede ser falso1@asdasd.com

Gracias a esto sólo tienes que poner el nombre de la cuenta, la contraseña y poco más. Total: 31 segundo.
Por que pueden bloquear por IP

Es cierto que ‘en pocas ocasiones’ se puede bloquear una IP durante un tiempo (no suele ser más de 24 horas), esto sucede más bien cuando se caduca una cuenta y después de crearse otra la pones en el mismo PC (si ya la tenías creada antes no pasa nada).

La solución es sencilla, create todas las cuentas de golpe o si lo que sea te pasa ¡Change IP!
Es difícil y molesto organizarse las cuentas

Es como la vida misma, yo por ejemplo mis cinco cuentas son (no son realmente estas):
Cuenta10
Cuenta11
Cuenta12
Cuenta13
Cuenta14
Cuenta 15

y tengo la misma contraseña para todas: qwerty
*Spotify no mira la fuerza de la contrasaña por la que puedes poner la que quieras*

Gracias a esto cuando se terminan las horas en la Cuenta13 me sale un mensaje de que se ha terminado y simplente doy a cerrar sesión, cambio el 3 por el 4, pongo la contraseña que es igual para todas y listo.

Ayuda para programadores

La web de Spotify tiene Ajax, si lo que pensais es hacer un programa y quereis saber si ya existe el nombre de la cuenta, con esta URL lo sabreis (podeis comprobarla por cUrl):

http://www.spotify.com/es/ajax/check_username?username=Cuenta01

SIGUIENOS EN FACEBOOK

Si quereis saber cuando sacamos actualizaciones nos podeis seguir aquí:
http://www.facebook.com/pages/Yo-tambi%C3%A9n-soy-Fan-DIMITRIX/110339282319959

Abr 19

Funcionalidad = InSeguridad (Firefox & Gmail)

Google, Programa, Seguridad, web No Comments »

Esto es algo que me fijé hace tiempo y es que Gmail muestrar en su <title> el asunto de los mensajes, a la vez que desde la versión 3 de Firefox se puede buscar las páginas por títulos, para ello Firefox guarda los <titles> en el PC local aunque el usuario no esté logueado.

El problema viene cuando esto sucede en un ordenador compartido (en nuestra casa, en un ciber, en el trabajo o en clase) pues aunque cierres correctamente la cuenta de Gmail se quedarán los títulos de los mensajes visitados (hay que tener en cuenta que en muchos lugares no se puede borrar el cache del navegador).

Un ejemplo (que no ha sido creado para esto sino que es real) es el siguiente:

Click para ver en Grande

Entre los 6 primeros resultados nos encontramos con:
Carla Martinez Pérez te envió un mensaje en Facebook.
Alberto mi pin de Bancaja es 8598.
Itinerario de Viaje Ryanair….

By Happy && Happy Hacking

Tagged with: firefox • funcionlidad • gmail • hack • inseguridad • poca seguridad

Abr 13

SeNecesita.es – Desastre informático

Seguridad, web, xss No Comments »

Después de un tiempo navegando y navegando hemos encontrado una web bastante curiosa, se llama SeNecesita.es y es una web de anuncios para gente que busca trabajo y gente que ofrece trabajo.

¿Donde está la novedad?
La novedad está en que la persona interesada en el anuncio deberá pagar una pequeña cantidad de dinero.

¿Y donde está el fallo?
El fallo está principalmente en… ¡Toda la web!
La web entera es un desastre informático, un ejemplo de como NO hay que programar.

En esta captura que les presentaré vamos a ver algo que nunca hemos visto (que recuerde) en este blog, se trata de un XSS y un fallo en la sentencia SQL a la vez ¡Si es que nos dan 2×1!

Quizás alguno si se haya dado cuenta de la seriedad del asunto, no se trata de mostrar un ‘desface’, más bien se trata de conseguir cupones gratis, ver ofertas sin pagar y hacerte con el control de la web.

¡Happy Hacking!

Tagged with: anuncios • clasificados • online • papel • periódico • senecesita • senecesita.es

Feb 27

Facua vulnerable a XSS

Bug, Seguridad No Comments »

Después de encontrarme por error con este XSS en la página de consumidores FACUA he decidido publicarlo por una sencilla razón:

La poca atención que prestan a la seguridad informática.

Una cosa es que se encontrase la vulnerabilidad en un apartado remoto no actualizado, pero otra cosa es que sea en el propio buscador principal.
Esto da que pensar que si las páginas ‘grandes’ no piensan en la seguridad de sus datos (cuentas, calles, DNI) de sus usuarios ¿Por que los bancos tienen que ser diferentes?

Recordamos que tenemos un Facebook desde el cual podreis acceder a las actualizaciones

Nov 28

PepePhone.com: Desastres en seguridad informática

Seguridad, web No Comments »

Después de estar poniendo a prueba los sistemas de la compañía telefónica PepePhone, creada por AirEuropa en su línea ‘Pepe’, suspenden totalmente en la seguridad informática.

Aquí indicamos los principales fallos:

- No encriptación de Password, al contrario que todas las compañías normales que transforman la contraseña en un Hash MD5 o SHA1, pepephone las conserva en texto plano.

- Cambio de contraseña sin autorización del usuario. En muchos sistemas cuando seleccionas ‘He olvidado la contraseña’, te envían un enlace al email para poder cambiar la contraseña, pero no se te envía una contraseña nueva normalmente. La razón por la que no se envía (como le pasaba antes a Tuenti) es que ninguna otra persona cree un programa que genere una contraseña diferente de tú cuenta cada 5 minutos, pues bien, pepephone es vulnerable, se generan contraseñas aleatorias.

- Y el tercero y más importante es que en ciertas páginas se encuentra en el código fuente la contraseña en texto plano, por ejemplo en el apartado “Progama Habla y Vuela“.
En este Código fuente:

Tagged with: contraseña • pepephone • Seguridad • vulnerable

Sep 15

Tuenti XSS – Zero Day (15/09/2010)

Bug, Tuenti, web, xss 2 Comments »

Hoy empiezan las clases y se han realizado cambio en Tuenti, logicamente como todos los cambios importante se han dejado fallos de seguridad muy importantes, ahora mismo el cuadro de búsqueda es vulnerable a XSS.

Este fallo ha sido avisado a uno de los responsables de Tuenti.

Sep 02

Cámara espía

web No Comments »

El otro día llegó a mis manos esta cámara espía en forma de llavero:

Pues esta cámara espía que se vende por 15€ es capaz de realizar videos de 720 líneas, a una calidad extraordinaria con sonido, además también puede hacer fotos.

Sinceramente es un gadget de esos que ves una vez a los mil, por lo menos, por lo barato que está.
La tienda que lo vende (www.seimporta.com) ha creado una página en facebook y se la regala a los fans según las bases, dejo la página del facebook: http://www.facebook.com/pages/SeImportacom-Gadgets-a-tu-alcance/151214304907367

Ago 26

Programa Anti-Pederasta

Gobierno 1 Comment »

Hará unos 4 o 5 años, un grupo de principiantes informáticos (no les diremos hackers), tuvieron una idea, crear un programa anti-pederastas, que se coloque en torrets, emule, ares, etc… con nombres jugosos para esos asquerosos mounstrous…

- El programa en sí, enviaría un mensaje a la Guardia Civil, con la IP de el sujeto.

- No se podría borrar facilmente el programa (para así que se siga compartiendo y caiga más gente).

- Al cabo de X tiempo borre un archivo para que deje de funcionar el ordenador.

- Otras cosas…

¿Por qué esta bonita idea no se hizo?
Pues por que las leyes están como siempre, a favor del terrorista, del pederasta, etc…

~Y ahora es cuando nosotros seguiremos sus pasos…~

Jul 01

Falsificación de mensajes móvil

Programa, Seguridad 1 Comment »

No es la primera vez que en esta web hablamos sobre estos temas de móviles y hoy os traigo un artículo bastante interesante.

Con esto, lo que queremos hacer es, introducir en nuestra SIM el mensaje que queramos (pudiendo elegir como entrante o saliente) y pudiendo elegir la fecha y el número que supuestamente nos ha enviado el mensaje (o al que le hemos enviado)

¿Para que nos puede funcionar?
Pues al estar introducido en la tarjeta SIM y no en el móvil los datos son totalmente cierto (o eso se cree), si por ejemplo dices que has enviado un mensaje y dice enseñame el móvil, podrás hacer que aparezca la fecha/hora y el número que quieres y eso es indiscutible. También puedes decir que una persona te envió un mensaje (que realmente nunca te envió).

¿Y como se hace esto?
Pues de una manera sencilla, al ser a nivel de SIM, necesitaremos un Lector SIM, para añadir/modificar los datos desde nuestro ordenador. También puedes hacer Backups de la agenda, etc… Usan una interfaz para Windows muy sencilla

¿Y como lo consigo, cuanto cuesta?
Es difícil encontrarlo en las tiendas, normalmente estos dispositivos (legales) se venden en Internet. Yo lo compré en esta tienda y me costó menos de 5€

¡Be happy!

Jun 22

¡Venta de FRIALDAD en eBay!

Uncategorized No Comments »

Es curioso que se pueda vender sentimientos como la frialdad entre otros por eBay, pero esto es lo que nos encontramos y el anuncio ya lo dice ¿Es que no te atreves?

Lo curioso de todo es que no se pide más que un centimo por ella.

http://cgi.ebay.es/ws/eBayISAPI.dll?ViewItem&item=260623670463

Sin duda, hace falta estar chiflado… ¿O no?