En conocida empresa de esas que te dejan "dinero rápido" para gastarte en lo que quieras y luego te lo cobran al 22% de comisión, navegando por su web me encuentro con un pequeñito fallo de seguridad (por decirlo de forma cínica). Resulta que si visitas su página web pero te da por poner después del dominio, el propio nombre de la empresa .txt (cosa que me ha salido de puta chiripa porque intentaba ver el robots.txt y se me ha ido la cabeza), ves algo del estilo:
¡Ups, anda, que cosas! Si son los datos de acceso a su servidor y a su base de datos. Uy, que despiste de algún (que se hace llamar o pone en su contrato) "administrador de sistemas" que ha dejado un lindo fichero de texto con los datos por si acaso está en la playa y se le olvida como entrar a la máquina.
Ni me atrevo a entrar esos datos ni lo voy a hacer, porque no quiero ni pensar lo que me puedo encontrar con ellos en una empresa que maneja dinero de la gente, cuentas bancarias y datos muy personales de los que "confían" su dinero.
Otro ejemplo más a la saca de la mierda de seguridad que hay en nuestro país en páginas muy gordas.
HOSTIA! pero si es cof…….. dios,esta si que es buena
11 de octubre de 2009Es muy fuerte !!!
Por si no se habia hecho ya, he intentado avisarles desde su formulario de contacto, pero al pulsar en enviar no hace nada :-P
Yo o algun conocido se he encontrado otras veces con problemas similares y muchas veces no te hacen caso. Alguna vez me da por probar algun SQL Injection (solo probar) y hay muchos sitios que aun son vulnerables …
11 de octubre de 2009Pues parece que el admin se ha ido de puente porque sigue ahí xD
A ver si podeis entrar a la DB y cancelarle a mi madrina el credito.. :D
11 de octubre de 2009Dios, he adivinado de que web se trata… menudo despiste, sabiendo usar esos datos (yo no sé) se puede hacer un desastre, como se dice en mi tierra.
11 de octubre de 2009Joder yo también he accedido a esos datos…
11 de octubre de 2009No conecta por telnet (23) ni SSH (22), ni FTP.
No conecta a la base de datos (probado con Heidi MySQL client. Acceso denegado para usuario, blablablabla.
Esos datos a saber de cuando son.. y a saber desde donde se puede tener acceso (es muy posible que solo se pueda desde red local).
Eso si, el articulo ‘hacker’ te ha quedado muy efectista.
11 de octubre de 2009Venía directo a comentar que me parece un poco irresponsable publicar aquí los datos si realmente son tan sensibles… hasta que he visto el comentario de Azrael.
Espero que tenga razón Azrael y esos datos no sirvan para nada, porque si no me parece que tienes tu más “delito” publicandolos que el administrador que los dejó ahí por error.
11 de octubre de 2009Seguridad máxima, oye…
11 de octubre de 2009Al segundo intento. Probé antes de leer los comentarios.
Tela.
11 de octubre de 2009Yo no pienso que sea irresponsable publicar aquí los datos. En realidad le haces un favor a la empresa, ya que puede tomar medidas (pidiendo responsabilidades, despidiendo al administrador).
Por ejemplo cada vez que sale un parche de seguridad de cualquier programa, los hackers tienen carne de cañón. Es responsabilidad de los administradores percatarse primero y actualizar a la última versión.
Es mejor avisar que callarse, ya que otra persona malintencionada podría beneficiarse. La solución de comunicarlo directamente a la empresa es éticamente más acertada, pero casi seguro que tu email no llegará al departamento técnico apropiado.
12 de octubre de 2009Pero a ver.. alguien es capaz de hacer algo con esos datos? Porque yo lo unico que veo es un archivo de texto que no tiene ninguna utilidad.. ni buena ni mala. A efectos practicos, es como si me invento yo los datos.
12 de octubre de 2009Cuando estudié seguridad de redes, aprendí que una estrategia importante, consiste en provocar a posibles intrusos a intentar determinadas acciones, monitarizándolas y haciendo saltar alguna alarma. Con eso consigues ir por delante del atacante.
Aunque en este caso tal vez tengas tu razón… o no…
12 de octubre de 2009Oye!!! Y nadie puede entrar y cancelar todos los prestamos y que se vayan a la mierda….???? Tengo dos creditos con ellos y la verdad tuve verdaderos problemas con ellos al principio…
12 de octubre de 2009La primera IP no conecta. La segunda sí. He probado todas las combinaciones (2*2 = 4, vaya…) user/pass del TXT y todas me dan acceso denegado.
12 de octubre de 2009O son datos viejos, o están ahí para despistar (no creo, ya os digo que la segunda IP sí conecta)
En cualquier caso me parece muy cutre por parte del que lo haya dejado ahí… siempre conviene tener este tipo de datos o fuera del document root o bajo un .htaccess con un deny from all…
En la primera IP, acceso cliente, ponéis el usr y pass y dice… el usuario está bloqueado xD
12 de octubre de 2009Anda que menudo estás hecho Álex, esos datos son falsos, has caido como un auténtico lammer.
12 de octubre de 2009Menuda estás hecha Jinna, escribes “lammer” como una auténtica lamer…
12 de octubre de 2009MeriLET… has visto el enlace que has puesto? porque en la URL pone bien clarito laMMer…
12 de octubre de 2009Hace tiempo tenía suerte de ponerme con un proyecto viejo. Hace años en PHP los variables de la petición fueran globales. Es decir, $_POST[‘nombreVariable’] == $nombreVariable. Todo el código estaba hecho con los variables globales tipo $nombreVariable. Necesitaba o cambiar configuración del servidor para que funciona en modo compatible con variables globales (que es muy peligroso y el código se hace incontrolable), o tenía que revisar todo el código cambiando $nombreVariable por $_POST[‘nombreVariable’]. Uno, para ahorrar el tiempo, me dijo que haga lo siguiente:
foreach ($_POST as $clave => $valor) {
$$clave = $valor;
}
Lo mismo para $_GET.
O sea, es lo mismo como cambiar configuración del servidor para que funciona en modo de variables globales. Le dije que esto no es seguro, pero me respondió “Es igual. Si no entran por un agujero, siempre pueden reventar el servidor entrando a través de otro fallo.”
Curioso…
13 de octubre de 2009Iba a poner que habia entrado en la web y cancelado mi deuda… pero creo que algunos no entenderían la broma.
13 de octubre de 2009Evidentemente NooBS o quien seas…
13 de octubre de 2009El término “lammer” redirige a “lammer” puesto que la entrada con dos “m” no existe. Búscalo en la Wikipedia inglesa si no me crees.
Cuanta incosistencia en una misma frase… El término “lammer” redirige a “lammer” puesto que la entrada con dos “m” no existe.
13 de octubre de 2009Una pista,para saber qué caja era,por favor, me muero de curiosidad
14 de octubre de 2009David, no sabes leer¿?¿? la pistaza la tienes en el primer comentario…
14 de octubre de 2009Ya han quitado el acceso. Y si, la primera pistaza tiene un comentario burrisimo, si sabes mirar la caché de google (la de texto)
13 de febrero de 2010Un poquito más de info
13 de febrero de 2010http://209.85.229.132/search?q=cache:6SiCIypPcdkJ:lostmon.blogspot.com/2009/10/cofidises-pudo-ver-sus-datos.html+cache:+www.cofidis.es/cofidis.txt+http://www.cofidis.es/cofidis.txt&cd=1&hl=es&ct=clnk&gl=es