(In)Seguridad

ServiTicket.com: fallo grave

¿Te gusta el artículo? ¡Valóralo!

4.9 media basada en 25260 votos

  • Excelente
    12027
  • Muy bueno
    7217
  • Normal
    3609
  • Regular
    1805
  • Malete
    602
Nadie ha dicho ni una palabra del post que envié hace unos días llamado Serviticket.com comprometido y la verdad, ME ASUSTA ver tanta pasividad.

Sobre todo me asusta la pasividad de La Caixa que no hace nada por remediarlo. La persona que ha logrado conocer el gravísimo agujero de que tiene el sistema de , que usan cientos de teatros y cines de toda España, está «acojonada» por tal pasividad.

Me envia estos pantallazos para demostrarme que es cierto:

ANTES

DESPUES

El ejemplo ha sido realizado con la película de Harry Potter el próximo martes a mi petición, es decir, que no se ha dedicado a retocar la foto y tal, aseguro y doy fé de que es cierto.

El agujero permitiría simular la adquisición de butacas PERMANENTEMENTE. Ahora, alguien que sepa de números, podría multiplicar los teatros, cines, museos, pabellones de toda España que usan ServiTicket y que de sólo un día mire la cantidad de butacas y sesiones que hay de todo ello.

¿Os imaginais la que se puede liar?

En fin… Asombrado de tal agujero estoy, joven padawan :)


Actualización 3 dic 01:00am


Dado que hay incrédulos. Ese video muestra de que forma TEMPORALMENTE se podría llenar a mitad una sala. Lógicamente, hacerlo con la sala entera, el cine entero y permanente es continuar con dicha programación, y esto no se va a hacer porque el objetivo de esto no es DAÑAR a ServiTicket y los cines/museos/teatros comprometidos sino mostrar que es posible realizarlo.

Actualización 12 dic 20:02am
El video ha sido desactivado temporalmente ya que por fín, a las 3 semanas de avisar a La , un responsable del Dpto de Seguridad de la entidad, me ha llamado para comentarme que le había llegado dicha información. Me ha pedido, de buena fe, que quitara el video que muestra la forma de llenar las salas de cine, y he accedido, también de buena fe a quitarlo hasta que recibiera una explicación y tuviera una conversación con ellos, que espero sea muy pronto.

Seguiré informando aquí de lo acontecido con esta «historieta» :)

Actualización 15 dic 12:05am
Debido a que nadie me llama de La Caixa, considero que siguen pasando del tema. Aquí va el video de nuevo. Yo creo que no saben realmente lo importante del problema.

Actualización 19 dic 19:03am
He quitado el video porque he recibido un Burofax de La Caixa prácticamente de amenaza.
OS CONTARE LA HISTORIA ENTERA en próximos artículos. Voy a prepararla bien para que conozcais todo lo que ha pasado detalladamente. La historia, SIN DUDA, es mucho mejor que el video.

, , ,

Alex

Ciudadano del mundo. Me encanta llevarme mi cámara fotográfica para inmortalizar esencias y experiencias en lugares diferentes, donde la gente vive diferente, pero donde todos disfrutamos cada día de puestas de un mismo Sol.

Vistos recientemente...

Adios Telepizza

CUIDADO: todas las restauraciones de servidores en 1and1 hacen el servidor inoperativo

Certificado de seguridad de la Agencia Tributaria

Bibit caído por Navidad

Google controlandolo todo

25 Comments

  1. Omixam

    Pues me parece asombroso lo que dices…y no entiendo por qué la entidad no dice nada al respecto.

    PD: Gran blog este…pasaré a menudo
    PD2: Genial lo de los segundos arriba.

    2 de diciembre de 2005
  2. andres

    debe ser muy grave el agujero, pero no entiendo nada de lo que pasa….cual es el problema? me lo podeis explicar mejor?

    2 de diciembre de 2005
  3. ... hmmm ...

    hmmm…. ¿porque deberiamos creer tu palabra?
    Si quieres que la Caixa haga algo.. haz público el método.
    Al día siguiente ya verás como lo han arreglado.

    2 de diciembre de 2005
  4. Alex

    Si se hace público sería ilegal, puesto que se ha publicado un fallo de seguridad que comprometería bastante al sistema y sobre todo tendría perdidas millonarias.

    ¿Algún consejo real y legal al respecto?

    2 de diciembre de 2005
  5. Alex

    Respondiendo a «… hmmm …» : ¿que gano yo mintiendo en mi propio blog?

    Si no te lo crees añademe por messenger (o cualquier otro método) y te muestro que es cierto.

    En serio, no se puede hacer público, al menos hasta que ellos digan algo y lo sepan… es simplemente ilegal.

    Tener «acceso» a ese fallo y realizar un par de «llenos de sala» temporales no hace daño a nadie, si se libera el código, si, es cierto, al día siguiente lo tienen arreglado, pero porque una panda de «lammers» lo han usado para realmente hacer daño.

    (Lammer, hablando claro, para el que no lo sepa son los chiquillos que se leen 4 documentos por internet y se creen que son hackers capaces de llegar a la CIA)

    3 de diciembre de 2005
  6. Maiko

    También se puede amenazar con hacerlo público. O mandarle la historia a algún periódico u otro medio de comunicación. Seguro que si es la portada de mañana de El Periódico de Catalunya (p.ej.) se acaba la cosa en una hora.

    3 de diciembre de 2005
  7. Problema

    Si no han dicho nada es porque en esta demostración se realizan claramente daños, y seguramente en breve pegaran una patada a la puerta del listo este.

    4 de diciembre de 2005
  8. Alex

    En esa demostración se ve claramente (al igual que en la explicación del video mas arriba) que es un ocupamiento totalmente TEMPORAL de la sala (dura 10 minutos me parece hasta que se elimina la sesión del navegador). Lo único que demuestra el video es que se podría hacer permanente y en todas las salas. No hay daños.

    4 de diciembre de 2005
  9. Edi

    No es el primer fallo de seguridad o informático de La Caixa. Hace un par de meses, a una amiga le bloquearon la cuenta durante casi un mes por un «fallo informático» sin darle más explicaciones. Al parecer se habían borrado los datos de los movimientos de un montón de cuentas (no tienen copias de seguridad?). Se dió cuenta porque le habían rechazado el cobro de la mensualidad del piso. Obviamente no apareció ni una palabra en ningún periódico. El servicio informático de «La Caixa» es de lo más lamentable que conozco, pero lo compensan controlando a los medios de comunicación para que no nos enteremos.

    Hace quizás unos 10 años, me robaron a mi de mi cuenta 100.000 pesetas con un sistema que consistía en colocar camaras de video en los cajeros para grabar el numero secreto de las tarjetas. Con eso y los datos de un resguardo (de los que seguramente tiré yo a la basura), pudieron hacer una copia perfecta de mi tarjeta de credito y sacar dinero de mi cuenta. Desde entonces, en los resguardos aparecen esas XXXX tapando los últimos números de la cuenta. Sólo vi una pequeña noticia sobre esto en «El Periódico de Catalunya». Por supuesto ni en la tele, ni en ningún otro sitio…

    6 de diciembre de 2005
  10. Gazpa

    Ayer mismo descubrí algo parecido en ServiCaixa. Desde el propio «cajero» en el cine donde se recogen entradas, y donde también se pueden comprar.
    Fui a pillar 5 entradas, elegí el sitio y al pasar la tarjeta de crédito me dijo que no podía leerla. Tras 3 intentos aborto la compra. Lo volví a intentar y los asientos que había elegido antes estaban ocupados. Elegí otros y lo intente con otra tarjeta. Y tampoco.
    Al ir a la taquilla, cual es mi sorpresa al descubrir que la chica de la taquila no me podía dar las entradas en los sitios que había intentado coger antes. Me dijo que quedaban «reservados». Apunto estuve de probar a «reservar» toda la sala para ver la peli más tranquilo.
    Y en efecto, la sala casi llena, y los asientos mencionados, vacios.
    Es curioso ver estos dos casos el mismo día, por lo que puede que sea un «bug» (o feature ;P ) introducido recientemente.

    6 de diciembre de 2005
  11. Alex

    No es una caracteristica nueva. Se puede hacer desde hace meses. Probablemente lo que te ocurrió es que la sesión del servidor que gestionaba esos asientos se quedó colgada (pasa muy muy pocas veces, pero pasa).

    El fallo que se presenta aquí también «cuelga» esas sesiones pero masivamente de otra forma.

    Se parecen los fallos ciertamente, pero este es un fallo genérico y reproducible, el tuyo fué puntual. Aun así, muchas gracias por verificar y ratificarlo de alguna manera :)

    6 de diciembre de 2005
  12. Terry

    He visto el video del fallo.

    Pero por lo que he visto, el problema afecta a la reserva temporal (mientras dure la sesion) de las butacas de la sala. Pero si quieres hacerlas permanentes, entonces necesitas una tarjeta de credito y pagar por lo que reservas.

    Es decir, el perjuicio de reservar PERMANENTEMENTE las butacas tiene un precio. Salvo que tambien se haya conseguido burlar el sistema de pago, pero no creo que se haya llegado hasta ahí.

    Cuidado. No digo que no sea un tema grave, puesto que en un par de horas, conociendo el fallo, haces un programa que se dedique a intentar reservar continuamente todas las butacas libres y dejarias el sistema completamente ‘out’ por un DoS de aplicacion. Tendrian que vender las butacas a mano.

    Saludos.

    7 de diciembre de 2005
  13. Alex

    Efectivamente el video muestra, como dice el enunciado, una actuación temporal. Hacerlo permanente se puede, en serio, pero nunca he querido ni querré obrar para dañar el sistema.

    Se puede hacer permanente, sin ataque DoS, y en todas las salas de España a la vez.

    Muchos cines (por no decir todos) comparten esa base de datos centralizada. Si está ocupada en ServiTicket (aunque NO ESTE PAGADA), las chicas de las taquillas en el cine físico, no pueden coger esa entrada.

    Por tanto, dicho bestiamente, pero se podría hacer que durante una tarde NADIE PUDIERA ir al cine en España.

    No voy a obrar de mala fé. Pero es así.

    7 de diciembre de 2005
  14. Terry

    Ok. Entonces entiendo que lo que has conseguido, es mucho más. Es decir, estas haciendo DML directamente contra la base de datos de esta gente.

    Pufffff… y dices que han hecho caso omiso de tus avisos ? Vaya panda…

    Mira, yo tenia a estos de la caixa en mas alta estima.

    Saludos desde Zaragoza, Alex…

    7 de diciembre de 2005
  15. ALONSO BERNARD

    como puedo aser para comprar ticket para fc barcelona – milan ac
    soy frances de perpignan mucha gracias

    19 de abril de 2006
  16. martina

    mira he leido todos los comentarios verdaderament eno se si esta pagina la seguiras revisando, pero bueno me quede cn ganas de ver el video, si lo llegas a tener o a poner en la pagina avisame por un email, gracias. mar.

    28 de septiembre de 2006
  17. Jordi

    Pero yo no lo considero un fallo de seguridad, al contrario!

    Se trata de un sistema moderno, en tiempo real, en el cual se reservan las localidades antes de realizar la compra. Es preferible esto a intentar comprar y que te diga que las localidades que has seleccionado ya han sido compradas.

    Si 100 personas reservan a la vez, claro que se llena la sala.
    Es como si cojo un walkie-talkie y no paro de hablar por un canal y lo dejo siempre ocupado. ¿es un bug?

    No es ningún bug!

    comentarios a: ronekenoby@hotmail.com

    10 de diciembre de 2006
  18. maxi

    pos yo e enviado 2 mensajes i no ma llegado la clave ayudarme o tomare otras medidas

    8 de junio de 2007