Páginas

Buscar en el blog

martes, 18 de septiembre de 2012

La web de PROMESA vulnerable a ataques tras 8 meses


La web de PROMESA, una sociedad pública de la Ciudad Autónoma de Melilla para la promoción económica de la ciudad, sigue siendo más vulnerable que un queso gruyere desde que se detectó el primer agujero de seguridad hace ya 8 meses. Así lo confirma el hacker  (Ur0b0r0X) que reventó por completo la seguridad de la web de la entidad en febrero de 2012.

Las desafortunadas declaraciones de Jose María López Bueno, presidente de la sociedad, cuando se conoció la noticia retaron al hacker a probar su valía al asegurar que "alguien se quiere poner una medalla haciendo mucho bombo de algo que es un juego de niños, de niños tontos".

El juego de niños acabó con un ataque a numerosas webs de Melilla. Algo que demuestra que en este 'juego' solo hay un tonto que tiene nombre y apellidos muy concretos. 

Hoy estamos aquí para hablar de pichotadas, porque se la acaba de pisar otra vez.  Hace unas horas he conseguido contactar con Ur0b0r0X tras varios meses sin saber de él y confirma, una vez más con pruebas, que la web de PROMESA y otras muchas de la ciudad son un coladero que cualquiera podría usar con acciones malintencionadas. 

En la web Pastebin, ha colgado hoy mismo información con las webs vulnerables e incluso una pequeña demostración enseñando parte de la tabla de la web de PROMESA,  así como nombres de usuarios y contraseñas de administrador que darían acceso completo al sitio una vez más.

Cabecera del mensaje publicado en Pastebin

Como la última vez, entrevistamos a Ur0b0r0X:

¿Todas las webs que salen en la lista que has publicado tienen vulnerabilidades activas ahora mismo?
Sí, todas.

¿Accedes a la web de Promesa con la misma vulnerabilidad explotada la primera vez o es una nueva?
Una nueva jajaj... Menudo auditor de seguridad que contratan.

¿Sabes desde cuándo la web no es segura por segunda vez?  La primera vez lo detectaste el 27 de febrero de 2012
La web es vulnerable desde que trataron de arreglar el primer agujero. Taparon un hueco, pero abrieron otro.

¿Se puede saber qué vulnerabilidad es a grandes rasgos?
Injeccion Sql - RFI - Directory Traversal :)

¿Con este fallo de seguridad se puede tener acceso completo a los servidores de las webs?
Sí, podría acceder a todos hasta un niño con tan solo un click.

Parece que Jose María López Bueno tenía razón. ¿Esto es un juego de niños?
Jajajaja. Sí,  tal vez en algo tuvo razón. Si esto es un juego de niños su auditor y él son unos niños porque jamás lograrán dar privacidad a sus usuarios al igual que todas esas páginas vulnerables.

¿Algún consejo para los auditores de seguridad de Promesa?
¡Claro! Si necesitan ayuda que me contraten. Por ser viejos conocidos les bajare el costo ..... contact ur0b0r0x_@live.com

Más adelante hablaremos de las repercusiones que sufrí tras contar la noticia y criticar la nefasta gestión del presidente de PROMESA. Bienvenidos a la nueva temporada de 'Esto es de Película'. Saludos a los lectores habituales y a las nuevas incorporaciones.

5 comentarios:

  1. Por fin ha vuelto el Sr. Angosto! Qué alegría más grande se van a llevar Pichote López Bueno y el empresario Miguel Marín (el más listo que tienen)!!

    ResponderEliminar
  2. que inviertan un par de copas de vinos de esas que suelen dar... en una auditoria decente...

    ResponderEliminar
  3. Cuidado, que las adjudicaciones de los vinitos son inferiores a 18.000 euros y las hacen a dedo....Lo que faltaba. Creo que va siendo hora de que alguien explique quién lleva la web de Promesa. Es irresponsable seguir así.

    ResponderEliminar
  4. por 18k te hacen una auditoria por 50-60 jornadas los mejores a nivel nacional....

    ResponderEliminar