Hace unas semanas publiqué una vulnerabilidad con la que se podía atacar practicamente cualquier tipo de móvil.
Pues bien, un buen compañero que está por estos lares ha creado un programa ejecutable para introducir el teléfono móvil y que se mande automaticamente los SMS que vosotros querais.
Aquí está:
http://petamoviles.blogspot.com/
Bueno, vereis, hará casi un año me hice unas cuentas para hacer experimentos y ver los filtros de Tuenti en cuanto a SPAM (calificables como penosos).
Mi mayor sorpresa fue, que como entendible tenía que poner una fecha de cumpleaños y al tener agregado a personas que no conocía de nada, pues digo yo que no me felicitaría nadie, pero…
Realmente si que lo hicieron, en cada cuenta tenía unas 200 personas y aquí estan los resultados.
Cuenta número 1 (Perfil de chica):
Consiguió un 3’7% de felicitaciones de personas que le desconocían.
Cuenta número 2 (Perfil de chico):
Consiguió un 6% de felicitaciones de personas que le desconocían (El 100% de chicas).
Interesante datos e importante para realizar un buen ataque de spam.
¡Be happy!
Hace unos meses publiqué un tema que hablaba sobre como bloquear facilmente móviles con ‘SMS-Bombing’ o ‘SMS Masivos’, podeis leer más aquí.
Muchos nos preguntais por más servidores desde los que poder atacar, por ello mismo en la página de Facebook he creado un comentario donde he puesto más servidores e insto a todo el mundo que quiera participar que ponga si conoce más servidores.
Página de Facebook: http://www.facebook.com/pages/SeguridadDimitrix/110339282319959
¡Happy Hacking!
Este fallo lo tienen casi todas las compañías telefónicas móviles, lo que vamos a conseguir es ponernos un saldo que no sea fijo (5€, 10€, 15€, etc…) y que además sea el mínimo, así que lo que haremos será ponernos 1€ de saldo en nuestro móvil, recordar que se puede poner cualquier cantidad.
Lo primero entramos en Orange y ponemos nuestros datos y seleccionamos la cantidad de saldo que sea (no importa)
Luego le ponemos en Tamper Data y modificamos el valor (img).
Y al final ya tenemos un saldo de 1€
¡Happy Hacking!
Sigue las actualizaciones en Facebook
http://www.facebook.com/pages/SeguridadDimitrix/110339282319959
¡Hazte Fan!
Nueva red social al parecer primeramente impulsada por el periodico 20minutos…
Pero como todas las redes sociales la seguridad no es cuestión de ellos… XSS, SQL, RFI… hoy os traigo un simple XSS para quedarnos un poquito con las cuentas de estos chicos taaan majo ¿Alguien se pide la administradora?
http://www.nettby.es/user/zoom.php?photo_url=[XSS]
¡Un saludo!
Con tanto Drama por parte de Google de ayudas al tercer mundo, que realmente me parece más que lo hagan para darse promoción ellos mismos a su aplicación CheckOut, que está quedando Obsoleta ante Paypal.
Pues si entramos en:
http://www.google.com/intl/es/relief/chileearthquake/
Veremos que tenemos un pequeño Banner de busquedas de personas que pertenece a:
http://chilepersonfinder.appspot.com/ Perteneciente a: https://appengine.google.com/
Pues podemos ver que en la variable de idioma ‘lang’ no se encuentra filtrada:
La gente no es consciente de la baja privacidad que proporciona Internet, redes sociales, foros, chats pueden llegar a desprender mucha información privada de las personas y ahora gracias a Tuenti ¡Con Fotos!
Y lo peor es que cada vez hace falta saber menos ‘informática’ para “espiar” a otras persona, un ejemplo es el siguiente:
Visitando 20minutos nos encontramos con la siguiente noticia: http://www.20minutos.es/noticia/617077/5/
La obligan a estudiar de nuevo 1º de Bachillerato cuando ya estaba en 2º curso
Ana Rincón no le ha quedado más remedio que abandonar sus estudios, al menos por el momento. Y es que su instituto- el IES Cardenal Cisneros de Madrid- acaba de informarle, casi a mitad de curso, de que deberá repetir todas las materias del año anterior.
Y no fue difícil, con una busqueda me salió ella, no había duda:
Y claramente “nos agregó” y pudimos ver su número de teléfono, amigos, fotos, opiniones, blogs…
Volvemos a abrir los comentarios para personas que no estén registradas.
Y quiero dar las gracias a todos nuestros suscriptores.
Dentro de poco un artículo muy interesante sobre Orange^^
Un saludo.
Bueno, encontré un pequeño XSS parcial en la parte de invitaciones web, esto se permite por un mal escape (realmente penoso) de la variable email (se envia por POST), curiosamente en el enlace “editar la invitación” si está escapada bien (si es que estos de tuenti, menos jugar y más progamar):
El code usado: seguridad@dimitrix.es<br><img src=http://i214.photobucket.com/albums/cc173/dimitrix-es/dexter.png>
Un saludo y gracias por leerme a todos!
