Grave fallo de seguridad en pagina web

Question

Grave fallo de seguridad en pagina web

PolCat 05 abr 2013 12:27

MegaAdicto!!!

2.077 mensajes
desde mar 2009

Buenas.
No voy a dar muchos detalles para evitar males mayores, aunque creo que no debo ser el único que se ha dado cuenta.

Resulta que en una pagina web de envíos, donde puedes ver el seguimiento, es una url tipo /envio/342534, pues si cambias el numero te salen los de otra gente.
Muestra dirección completa, teléfonos, correos.
Creo que les podría caer una buena multa, ya que de protección de datos poca.

Les avisaré a ver si lo arreglan.

¿Si no me hacen caso denuncio?

12 respuestas

Answer 1 · 2013-04-05T14:43:15+00:00

paco_man 05 abr 2013 15:43

Manesho Phupa

8.478 mensajes
desde ene 2011
en paquetado

Pues claro, es algo muy delicado, me cuesta hasta creerlo.

kalzonzillo 05 abr 2013 15:44 Adicto **151** mensajes desde **may 2007** · Answer 2 · 2013-04-05T14:44:29+00:00

kalzonzillo 05 abr 2013 15:44

Adicto

151 mensajes
desde may 2007

Efectivamente avisa y si no puedes poner una reclamacion

Rokzo 05 abr 2013 15:45 MegaAdicto!!! **24.647** mensajes desde **ene 2007** · Answer 3 · 2013-04-05T14:45:40+00:00

Yo tengo experiencia avanzada en seguridad web, y cada vez que entro en una página web miro a ver si encuentro algún fallo de seguridad, un poco por instinto.

Y de cada 10 páginas, 8 tienen un fallo de seguridad, y 5 de ellos además muy grave.

Si te interesa, puedes denunciar a la AEPD y ellos se hacen cargo. Tú no tienes que hacer nada solo dar el aviso y ya ellos se encargan.

Answer 4 · 2013-04-05T20:29:27+00:00

Yo me haría un pequeño script que genere peticiones con una lista gigante de nºs y guarde lo que obtenga. Luego les mandas la lista completa de cientos/miles de pedidos con los datos personales de toda la gente. Seguro que eso les hace mover el culo.

Aunque yo lo mandaría de forma anónima, que capaces son de denunciarte por hacking los hijos de puta.

Answer 5 · 2013-04-05T21:08:49+00:00

redscare escribió:Yo me haría un pequeño script que genere peticiones con una lista gigante de nºs y guarde lo que obtenga. Luego les mandas la lista completa de cientos/miles de pedidos con los datos personales de toda la gente. Seguro que eso les hace mover el culo.

Aunque yo lo mandaría de forma anónima, que capaces son de denunciarte por hacking los hijos de puta.

Mejor lo que ha dicho Rokzo...

Rokzo escribió:Yo tengo experiencia avanzada en seguridad web, y cada vez que entro en una página web miro a ver si encuentro algún fallo de seguridad, un poco por instinto.

Y de cada 10 páginas, 8 tienen un fallo de seguridad, y 5 de ellos además muy grave.

Si te interesa, puedes denunciar a la AEPD y ellos se hacen cargo. Tú no tienes que hacer nada solo dar el aviso y ya ellos se encargan.

Hasta hace no demasiado las webs de los ministerios eran MUY blanditas ante ataques inyeccion SQL.

Answer 6 · 2013-04-05T23:44:47+00:00

Mejor no hagas nada, busca el hilo del que aviso a nintendo de un fallo en una web que hicieron para una conferencia o alg asi

Answer 7 · 2013-04-05T23:51:52+00:00

jcesar escribió:Mejor no hagas nada, busca el hilo del que aviso a nintendo de un fallo en una web que hicieron para una conferencia o alg asi

http://www.elotrolado.net/noticia_la-verdad-sobre-el-supuesto-robo-de-datos-y-chantaje-a-nintendo-actualizado_18733
http://www.elotrolado.net/hilo_denuncia-a-nintendo-iberica-por-el-fallo-de-pruebayveras_1573281

Por eso en lugar de avisar directamente a la empresa es mejor dar el aviso a las autoridades pertinentes y que sean éstas las encargadas de tomar nota/avisar y/o sancionar según crean conveniente.

Answer 8 · 2013-04-06T00:27:39+00:00

intenta calzar una inyeccion sql como parte de la url. No es plan de hacer un drop all, pero mira a ver si la url no está saneada y puedes sacar cosillas.

Answer 9 · 2013-04-06T00:41:16+00:00

neofonta escribió:
jcesar escribió:Mejor no hagas nada, busca el hilo del que aviso a nintendo de un fallo en una web que hicieron para una conferencia o alg asi

http://www.elotrolado.net/noticia_la-verdad-sobre-el-supuesto-robo-de-datos-y-chantaje-a-nintendo-actualizado_18733
http://www.elotrolado.net/hilo_denuncia-a-nintendo-iberica-por-el-fallo-de-pruebayveras_1573281

Por eso en lugar de avisar directamente a la empresa es mejor dar el aviso a las autoridades pertinentes y que sean éstas las encargadas de tomar nota/avisar y/o sancionar según crean conveniente.

Vaya panda de hijos de **** los de nintendo españa no?¿Al final que le paso al chaval?

Answer 10 · 2013-04-06T07:48:16+00:00

Asegúrate antes que sean una tienda normal y legal. Que el truco del "tío que vive en Londres y quiere hacértelo mediante una empresa intermediaria" esa empresa intermediaria suele tener ese tipo de fallos de seguridad, como expliqué en mi blog en 2010. No quiero hacer publicidad, si quieres verlo está en mi perfil "diario de una estafa".

ByEs [buenazo]

PolCat 09 abr 2013 12:41 MegaAdicto!!! **2.077** mensajes desde **mar 2009** · Answer 11 · 2013-04-09T11:41:00+00:00

PolCat 09 abr 2013 12:41

MegaAdicto!!!

2.077 mensajes
desde mar 2009

A la espera de respuesta.

Answer 12 · 2013-04-09T11:52:37+00:00

xtroder 09 abr 2013 12:52

Volveré...

5.720 mensajes
desde oct 2006
en Cantabria

Página web de xtroder Twitter de xtroder Gamertag: OskarLGS PSN ID: OskarLGS Steam ID: OskarLGS

Si tu supieras los cientos de webs que hay así...