- Se incorporó
- 1 Octubre 2007
- Mensajes
- 6.052
Con la ley que se aprobó hace poco lo que quieres hacer califica como cibercrimen, tengo entendido.
Cuanto cobrar a la empresa por divulgar vulnerabilidad
- Empezó el tema freishner
- Fecha de publicación
- Se incorporó
- 14 Mayo 2004
- Mensajes
- 6.511
El solo hecho de entrar a un sistema que no es tuyo sin autorización, ya es un delito y tener conocimientos de TI es un agravante.
Saludos
Última modificación:
- Se incorporó
- 23 Febrero 2004
- Mensajes
- 12.272
resumen del caso: reporta el bug y elimina la info que no sea tuya ya que has incurrido en un delito de sustraccion de informacion
ranamaldita
mueranse
- Se incorporó
- 24 Junio 2003
- Mensajes
- 4.505
yo que tu cobraria unas 25 lucas + colacion y plata para la micro. Me parece justo
- Se incorporó
- 14 Mayo 2004
- Mensajes
- 6.511
25 lucas, menos de una UF esta bien para un alumno en practica
Cosme
Gold Member
- Se incorporó
- 27 Febrero 2005
- Mensajes
- 8.276
¿Como el spam de "te grabé mientras te jalabas el ganso"?
- Se incorporó
- 23 Febrero 2004
- Mensajes
- 12.272
que ahora por culpa de Correos llega con nombre y rut ?¿Como el spam de "te grabé mientras te jalabas el ganso"?
- Se incorporó
- 17 Marzo 2005
- Mensajes
- 28.192
que ahora por culpa de Correos llega con nombre y rut ?
No culparía sólo a correos. Se filtraron veintitantos mil millones de datos hace poco a nivel mundial.
recomendaría: https://haveibeenpwned.com
ppy
- Se incorporó
- 23 Febrero 2004
- Mensajes
- 12.272
si, LinkedIn fue un gran culpable, con filtrado de numeros telefonicos, por eso tambien llegan muchas estafas por numeros de whatsapp de quien sabe dondeNo culparía sólo a correos. Se filtraron veintitantos mil millones de datos hace poco a nivel mundial.
recomendaría: https://haveibeenpwned.com
Nunca me pescaron, hay ene empresas en la misma. Pero para explicar un poco y vean que no es material del tipo NASA.
Caso nro 1
Ciertas empresas presentan formularios públicos, entiéndase por público que cualquier persona accesa a los formularios. Están protegidos por captcha los form para enviar los datos, pero no los requests que auto completan los datos. Entonces, si uno abre el dev-tools y se va a network, se va a encontrar con que la petición viene en formato.
Como hacer un exploit de eso. Un for que genere rut por rut y que guarde todo en un csv, exploit hecho. Sin autentificación, sin credenciales, solo con un browser y la consola del mismo.
Caso nro 2
Buscando y buscando di con varios rar a ver si pillaba algo interesante, acto seguido había una reunión guardada, revisando los vídeos los compadres se metían a un key manager y pinchaban el ícono de ver en repetidas ocasiones, con vlc x 0.75 copie los fotogramas y testié las claves, login in -> login out. Otra vez, sin login, sin autentificación, sin credenciales, solo con el browser.
Caso nro 3
Varios .env de Laravel tirados exponiendo las credenciales varias. Otra vez, sin login, sin autentificación, sin credenciales, solo con el browser.
Seguridad Made in Chile. La única página que encontré con el security.txt decente era la de fintual, luego estaba wallmart en hacker one, lo mas interesante de fintual era el muro de la fama, se podían abrir las sesiones cuando el usuario hubiera cerrado sesión (easy money). Hay casos mas elaborados pero esos no los voy a exponer, si las empresas no tienen interés, quedaran a su suerte. Lo penca en el caso nro 1, es que se está ventilando toda la info de los chilenos de una manera horrendamente sencilla de explotar.
Caso nro 1
Ciertas empresas presentan formularios públicos, entiéndase por público que cualquier persona accesa a los formularios. Están protegidos por captcha los form para enviar los datos, pero no los requests que auto completan los datos. Entonces, si uno abre el dev-tools y se va a network, se va a encontrar con que la petición viene en formato.
Código:
GET datos.algo?rut=XX.XXX.XXX-XComo hacer un exploit de eso. Un for que genere rut por rut y que guarde todo en un csv, exploit hecho. Sin autentificación, sin credenciales, solo con un browser y la consola del mismo.
Caso nro 2
Código:
Google/DuckDuckGo: site:.cl inurl:.rar "index of"Buscando y buscando di con varios rar a ver si pillaba algo interesante, acto seguido había una reunión guardada, revisando los vídeos los compadres se metían a un key manager y pinchaban el ícono de ver en repetidas ocasiones, con vlc x 0.75 copie los fotogramas y testié las claves, login in -> login out. Otra vez, sin login, sin autentificación, sin credenciales, solo con el browser.
Caso nro 3
Código:
Google/DuckDuckGo: site:.cl inurl:.env "index of"Varios .env de Laravel tirados exponiendo las credenciales varias. Otra vez, sin login, sin autentificación, sin credenciales, solo con el browser.
Seguridad Made in Chile. La única página que encontré con el security.txt decente era la de fintual, luego estaba wallmart en hacker one, lo mas interesante de fintual era el muro de la fama, se podían abrir las sesiones cuando el usuario hubiera cerrado sesión (easy money). Hay casos mas elaborados pero esos no los voy a exponer, si las empresas no tienen interés, quedaran a su suerte. Lo penca en el caso nro 1, es que se está ventilando toda la info de los chilenos de una manera horrendamente sencilla de explotar.
- Se incorporó
- 14 Mayo 2004
- Mensajes
- 6.511
Pero si lo entendemos, la seguridad de los aplicativos de muchas empresas chilenas valen guano.
Lo que estamos diciendo que cuando pruebas una vulnerabilidad sin la autorización ya es un delito con nuestra legislación.
Saludos
rodrigokfw
Gold Member
- Se incorporó
- 19 Octubre 2007
- Mensajes
- 2.579
edito… debido a que mi respuesta no es moralmente correcta
Última modificación:
- Se incorporó
- 5 Julio 2006
- Mensajes
- 6.075
Ban por dar sugerencias de ese tipo.
Apuesto que ya le enviaste pm y le ofreciste $1000
Última modificación por un moderador: