Hoy os voy a dejar algo muy interesante que le pasó a un usuario de Underc0de llamado Copernico.
Los reportes, la historia de los forajidos informáticos.
Para todos los que nos dedicamos
al tema de la informática y la seguridad, ya sea por hobby o por trabajo,
reportar vulnerabilidades es un trabajo riesgoso que a los diseñadores y
administradores no les suele sentar muy bien y por ello suelen reaccionar de
mala manera. Esto es bastante comprensible ya que a nadie le gusta que le digan
que hace mal su trabajo, imaginaos al panadero, que de repente llegan a su
panadería y le cuentan que hace mal el pan, por supuesto no le sentará bien.
Sin embargo, si la vulnerabilidad es reportada con educación, respeto y lo más
importante, sin hacerse el sabiondo, se suelen recibir respuestas más relajadas
pero tampoco mucho más agradables (por lo general un: vale lo revisaremos).
Ojalá hubiese sabido esto hace un año cuando apenas
había reportado un par de fallos y lo hacía rápido y mal, sin explicar quién
era ni como lo había descubierto. Mi
caso se dio en una tienda de cámaras y dispositivos de vigilancia que tenía, y
tiene, un fallo SQLinjection. El no saber cómo reportar y hacerme un poco el
sabiondo hizo que me respondieran de una manera seca y como si fuese cachondeo.
Aunque la verdad es que me
respondieron más o menos igual que como yo les escribí XD. Lo tengo merecido.
Lo dejé correr y seguí a lo mío intentando aprender hacking.
La cosa es que como por aquel
entonces no tenía mucha idea (solo hacía SQLI para ser más exactos) solía
repetir muchas veces lo mismo a la hora de buscar vulnerabilidades a lo loco por Google (sí, daba asco, lo sé) me volvió
a aparecer la misma página y me pregunté: “¿serán tan inútiles como
desagradecidos?” Y me metí de nuevo, por supuesto no lo habían arreglado por lo
que les mandé otro mail pero en esta ocasión algo más contundente, les dije su
contraseña de administrador –que por cierto, era “Administrador” y el usuario
el nombre de la web con un 1 al final, si señor– y que al igual que yo
cualquiera podría robarles la información. Tras esto se enfadaron un poquitín, con razón,
y me respondieron lo siguiente.
Es en este momento cuando a
alguien con muy mala idea como yo se le pasa por la cabeza: …';shutdown -- …
Pero eso es solo para Navidad a modo de regalo.
La
verdad es que cuando a uno le llaman criminal se piensa las cosas dos veces
pero en este caso supongo que lo dijeron para acojonarme y que les dejase en
paz o la policía pasó de ellos, ya que a partir de ese mail no recibí nadad
más, aunque a día de hoy siguen igual, pero yo me callo y todos contentos… Sea
lo que fuere hay que aprender de los errores, yo ya tengo mi propia
“disculpa-advertencia” pre-escrita para
cuando tengo que reportar fallos, la copio, le cambio los nombres de las webs y
del fallo y lista para mandar . No
es gran cosa pero me encargué de hacer hincapié en que es sin querer y que no
les he provocado ningún daño para que se queden tranquilos. No he sido muy
laureado durante este añito que llevo de reportar pero no todo son malas
noticias el 31 de agosto por fin alguien me agradeció que les hubiese encontrado
un fallo. En una web de juegos y apuestas me regalaron 20.000
points y desde aquí se lo agradezco.
Parece ser que no todos los
administradores se lo toman a mal y es que si se hace con educación y respeto
cuenta la leyenda que algunas empresas lo agradecen… Pero vamos que son solo
leyendas, no busquéis beneficio a la hora de reportar porque os vais a llevar
un canto en los dientes.
Muchas gracias, espero que os haya gustado.
Gracias Rollth por darme esta
oportunidad a un neófito como yo en el mundo del hacking.
Saluti.
Grasias Copernico por escribi el pos, io solo pensaria en vengasa!!!!
No hay comentarios:
Publicar un comentario