Grave fallo de seguridad en pagina web

Buenas.
No voy a dar muchos detalles para evitar males mayores, aunque creo que no debo ser el único que se ha dado cuenta.

Resulta que en una pagina web de envíos, donde puedes ver el seguimiento, es una url tipo /envio/342534, pues si cambias el numero te salen los de otra gente.
Muestra dirección completa, teléfonos, correos.
Creo que les podría caer una buena multa, ya que de protección de datos poca.

Les avisaré a ver si lo arreglan.

¿Si no me hacen caso denuncio?
Pues claro, es algo muy delicado, me cuesta hasta creerlo. :O
Efectivamente avisa y si no puedes poner una reclamacion
Yo tengo experiencia avanzada en seguridad web, y cada vez que entro en una página web miro a ver si encuentro algún fallo de seguridad, un poco por instinto.

Y de cada 10 páginas, 8 tienen un fallo de seguridad, y 5 de ellos además muy grave.


Si te interesa, puedes denunciar a la AEPD y ellos se hacen cargo. Tú no tienes que hacer nada solo dar el aviso y ya ellos se encargan.
Yo me haría un pequeño script que genere peticiones con una lista gigante de nºs y guarde lo que obtenga. Luego les mandas la lista completa de cientos/miles de pedidos con los datos personales de toda la gente. Seguro que eso les hace mover el culo.

Aunque yo lo mandaría de forma anónima, que capaces son de denunciarte por hacking los hijos de puta.
redscare escribió:Yo me haría un pequeño script que genere peticiones con una lista gigante de nºs y guarde lo que obtenga. Luego les mandas la lista completa de cientos/miles de pedidos con los datos personales de toda la gente. Seguro que eso les hace mover el culo.

Aunque yo lo mandaría de forma anónima, que capaces son de denunciarte por hacking los hijos de puta.


Mejor lo que ha dicho Rokzo...


Rokzo escribió:Yo tengo experiencia avanzada en seguridad web, y cada vez que entro en una página web miro a ver si encuentro algún fallo de seguridad, un poco por instinto.

Y de cada 10 páginas, 8 tienen un fallo de seguridad, y 5 de ellos además muy grave.


Si te interesa, puedes denunciar a la AEPD y ellos se hacen cargo. Tú no tienes que hacer nada solo dar el aviso y ya ellos se encargan.


Hasta hace no demasiado las webs de los ministerios eran MUY blanditas ante ataques inyeccion SQL.
Mejor no hagas nada, busca el hilo del que aviso a nintendo de un fallo en una web que hicieron para una conferencia o alg asi
jcesar escribió:Mejor no hagas nada, busca el hilo del que aviso a nintendo de un fallo en una web que hicieron para una conferencia o alg asi


http://www.elotrolado.net/noticia_la-verdad-sobre-el-supuesto-robo-de-datos-y-chantaje-a-nintendo-actualizado_18733
http://www.elotrolado.net/hilo_denuncia-a-nintendo-iberica-por-el-fallo-de-pruebayveras_1573281

Por eso en lugar de avisar directamente a la empresa es mejor dar el aviso a las autoridades pertinentes y que sean éstas las encargadas de tomar nota/avisar y/o sancionar según crean conveniente.
intenta calzar una inyeccion sql como parte de la url. No es plan de hacer un drop all, pero mira a ver si la url no está saneada y puedes sacar cosillas.
SrAzull está baneado por "clon de usuario baneado"
neofonta escribió:
jcesar escribió:Mejor no hagas nada, busca el hilo del que aviso a nintendo de un fallo en una web que hicieron para una conferencia o alg asi


http://www.elotrolado.net/noticia_la-verdad-sobre-el-supuesto-robo-de-datos-y-chantaje-a-nintendo-actualizado_18733
http://www.elotrolado.net/hilo_denuncia-a-nintendo-iberica-por-el-fallo-de-pruebayveras_1573281

Por eso en lugar de avisar directamente a la empresa es mejor dar el aviso a las autoridades pertinentes y que sean éstas las encargadas de tomar nota/avisar y/o sancionar según crean conveniente.

Vaya panda de hijos de **** los de nintendo españa no?¿Al final que le paso al chaval?
Asegúrate antes que sean una tienda normal y legal. Que el truco del "tío que vive en Londres y quiere hacértelo mediante una empresa intermediaria" esa empresa intermediaria suele tener ese tipo de fallos de seguridad, como expliqué en mi blog en 2010. No quiero hacer publicidad, si quieres verlo está en mi perfil "diario de una estafa".

ByEs [buenazo]
A la espera de respuesta.
Si tu supieras los cientos de webs que hay así...
12 respuestas