TyC Sports y su WEB Site

Posted Dom, 08/09/2009 - 12:57 by achiola

Esta historia comienza en los primeros dias de junio de 2009, yo estaba "jugando" en distintos web sites para ver que tan seguros eran los mismos, hasta que en google me aparecio el site de TyC Sport.

Digo google porque para buscar sitios vulnerables, es la mejor herramienta, basta con hacer busquedas del tipo inurl, para encontrar lo que uno esta buscando, pero, el objetivo de este post no es demostrar los como, sino, advertiles de lo poco confiables que son algunos sitios y los cuidados que tenemos que tener al registrarnos en los mismos.

Siguiendo con la historia, me parecio llamativo que dicho site utilizara ciertos variables en su direccion url, y tras hace algunos pruebas básicas de seguridad (se denomidad sql injection), voilà!!!,  tenia ante mi la base de datos completa de TyC sport, usuarios contraseñas, etc, etc, etc.

Aclaro que los password estan encriptados con MD5, pero, esto no es ninguna garantia, si el password que se encuentra en algunos de los tantos diccionarios de internet (MD5 reverse),  donde se puede traducir por ejemplo "231d175a6f588a685bc28d34133fa5ca" a la palabra "ninguna". (no le digan a nadie que este era el password que tenia el usuario Administrador) Sealed.

 

A continuacion, lo que hice fue enviar un mail urgente al webmaster de TyC para que corrigiera dicha vulnerabilidad (cosa que acostrumbro, gracias al consejo de un amigo).

El dia 29 de junio me respondieron, pidiendo explicacion de como habia podido acceder a su DB, inmediatamente respondi su correo con todos los detalles tecnicos.

El día 8 de julio, segunda respuesta de TyC, donde decia y copio textual:

"Muchas Gracias.

A la brevedad lo corregiremos.

Saludos,

Web Master

TyC SPorts"

Guauuu que eficiencia, tenian su DB a merced de cualquier tipo y tardan 10 días en responder un mail... pero, por lo menos respondieron y se pusieron a trabajar en resolverlo,  (tengo una decena de otros casos en donde ni responden, ya los voy a publicar... Innocent).

 

Hasta hay pensaba que corregirian el terrible hueco de seguridad y se acabaria el tema, hoy (9 de agosto de 2009) me encuentro con que han corregido dicho problema y contento casi cierro el browser sin hacer otras pruebas... pero, algo me dicia que no todo estaba del todo bien, entonces se me ocurrio hacer una segunda prueba, pensaba no sera tan hp de haber ocultado los mensajes del motor de db, sin corregir los PoC?!!!

Dicho y hecho, los muy vagos habian hecho esto y es aqui donde decido publicar este post, para advertiles que NO SE REGISTREN en TyC Sports, y mucho menos utilicen la misma contraseña que la del correo, ya que su base de datos esta totalmente abierta y puede ser robada o copiada por cualquiera.

 

Bueno eso todo por ahora, veremos si se ponen a trabajar en serio... hasta el momento tengo dos opciones o son VAGOS o INEPTOS... ud elija.

 

  • achiola's blog
  • Share this

Comentarios

Lñogico. Primera ovación para

by anonimo (no verificado) - 07/07/2011 - 06:25

Lñogico. Primera ovación para Tevez. El jugador del pueblo no iba a dejar de serlo en Santa Fe. Bastó que se acercará a la gente con su pique corto para que las gargantas se calentaron con el “Carliiitos, Carliiiitos..” ¿El segundo? Messi. A la Pulga no le alcanzó con calentar, tuvo que clavarla en el àngulo cuando probaba a Romero. ¿El tercero? No hubo tercero.

El himno terminó con el grito de “Argentina, Argentina”. La única vez que se gritò con fuerza en toda la noche. Una clara señai del rendimiento de la Selección. La platea se levantaba con la corridas de Lavezzi y se sentaba cada vez que chocaba. Todos se agarraron la cabeza con el mal pase de Milito y los colombianos se abrazaban pese a que Dayro Moreno también se agarraba la cabeza después del increíble gol que se perdió.

El “Argentina vamos, ponga h…” comenzó a sonar. Se dice que el público que acude a ver a la selección es especial, no es d lfútbol. Sea es especial o no, del fútbol o no, todos se dan cuenta que hay que alentar en los malos momentos. Y lo era. Guarìn tenía la pelota que no cuidaban Cambiasso y Banega. Cuidaba la pelota que no se hacía amiga de Messi. La Pulga hacia poco para que le acerque.

 

El uuuhhh llegó por Lavezzi, el aplauso a Tevez llegó por otra corrida de atrás qyue termiuné en falta. Como en el Mundial de Alemania, el Apache no pisa casi el ´rea. Messi tampoco. Lavezzi tampoco. Los mediocampistas menos. ¿Cómo hacer un gol?

Falla Milito en el cruce y se contagia Burdisso. Moreno sigue pensando en cómo se erró ese gol. La popular se levanta. ¿Peligro? No. A calentar los suplentes. Todos. “Teo, Teo…”, se escucha. “Colombia, Colombia…”, después. Lo acompaña una corneta tan insoportable como el frío. Pitazo. Al vestuario. Bajan algunos silbidos. Solo se escucha el bombo.

La chica encargada de los cafés (gracias a Dios) tenia más despliegue que el mediocampo argentino. Incansable (gracias a Dios). Romero empezaba a ser figura. Afuera Lavezzi, adentro Agüero. Otro para ir para adelante. Otro para chocar contra Perea y Yepes. Vértgo. Puro vértigo. Si el mensaje de Batista era pausa, mucho no lo entendieron.

Y, sí, no podía faltar. “Movete, Argentina, movete…”. Tevez encaró, enganchó y se lo sacó Agüero. Noche torcida. Por el mismo lugar buscó Higuaín, córner. Cerca. Messi va a ejecutar el tiro de esquina. Aplausos. Le pega mal, al primer mal, otra vez al córner. Murmullos. “Volvé, Bielsa”, se animó uno. “Teo, Teo…”, insistió otra vez el mismo grupo que estaba atrás del Bolillo Gómez. ¿Serían de Barranquilla o Avellaneda?

No anda. Argentina, no anda. El carrito tampoco. La camilla va en busca de Ramos. “Y ponga h…”. Arrancó atrás del arco. Siguió en la platea. Zanetti se llevo la pelota por delante. Cuánta categoría de Yepes. No falta nada. Mejor dicho, falta de todo. Cambio de frente a cualquier lado. Batista con los brazos cruzados. Tan cruzados como el equipo. “Andate, Checho”, pedían. “Diego, Diego…”, el grito de guerra. Y llegó lo que nadie imaginaba en el segundo partido de la Copa América: “Jugadores, la c…” ¿La gente que va a haber a la Selección no es del fútbol? Las canciones las conocen bien. Entró Teo. Egoísta. Cuánta categoría de Yepes. Solo suenan los bombos. Suena el pito. ¿Hay que explicar cómo se fue despedida la Selección?

este informe se lo olvido un periodista en santa fe lo menos que pude hacer es devolverlo

Excelente!

by leonardo (no verificado) - 12/02/2009 - 12:46

Maniaco! eso es lo que haces en tu tiempo libre? la verdad esta muy bueno ya que al ser victima de este tipo de cosas me biene bien saber algo mas al respecto.-

Asociados

by achiola - 08/11/2009 - 09:39

jaja!! en cualquier momento largamos con el club.. lol

Cosas veredes, Sancho, que non crederes...

by Javier Smaldone (no verificado) - 08/10/2009 - 13:34

Efectivamente, Abel, está lleno de chantas ahi afuera. Y lo peor: cuando un pibe dañino les cepilla la base de datos entera (o les afana datos personales de varios miles de incautos usuarios), los culpables son cualquiera menos ellos.

Excelente post, que siga así! ;)

Enviar un comentario nuevo

El contenido de este campo se mantiene privado y no se mostrará públicamente.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.

Tags for TyC Sports y su WEB Site

Categoria