Archive for November 2014

LAN.COM | DataLeak & OpenUrlRedirection

Revisando en mi bandeja de correo, LAN.COM genera correo con ofertas-Estados de Cuenta y otras promociones al correo que tenemos registrado con nuestra cuenta. El contenido de estos correos están en un subdominio de lan.com llamado: news.lan.com




Al observar mi propio correo enviado por LAN puedo identificar lo siguiente:

1) Cuando me ofrece acceder a distintos lugares donde debo ser redirigido la URL va de la siguiente forma [imagen 1] y el sitio donde quiero ser enviado pasa como parámetro después de ‘&’.



2) Como se trata de un correo de publicidad o de estados de cuenta por parte de LAN, nos ofrece realizar un “unsuscribe”(cancelar la suscripción) para dejar de recibir los correos por parte de ellos donde la URL muestra nuestro correo y nos lleva a la confirmación para la cancelación.




Dejando en claro esto es que comienzan los experimentos:

1) ¿Podremos cancelar la suscripción de otras personas arbitrariamente?

Lamentablemente, para cancelar la suscripción en la URL cada correo tiene su propio parámetro “CHECK” , unas cuantas combinaciones de letras y números generados para cada correo con el cual evitan que podamos utilizarlo para cancelar la suscripción de otros, ya que tendríamos que conocer su CHECK individual.

2) ¿El Open Url Redirection es tan “Open” como pensamos? – Una buena respuesta es NO y SI: NO: porque despues de http://news.lan.com/?XXXXXXXXXXXX viene un codigo generado por LAN que le da validez a la redirección pero sin limitar el destino de esta redirección: en otras palabras podemos ocupar ese codigo valido para redirgir donde nosotros queramos, las veces que queramos.

¿y que hacemos? – Si para cancelar la suscripción existe un check propio y relacionado con un correo único y por otro lado necesitamos el otro código valido para generar la redirección.

Pues GOOGLE no?

Dork? pueden imaginarlo: site:http://news.lan.com

182 resultados.


Cada resultado o al menos la mayoría contiene los mismos datos que los correos que recibí: Antes se seguir Aquí viene la parte del DATALEAK:

Correos son enviados con:  Nombre Apellido Nºde Socio Kms LanPass Fecha de Vencimiento y gracias a que tenemos en todos la opción de “cancelar suscripción” Podemos obtener el Correo Electronico.

Ejemplo :



















Gracias a GOOGLE obtenemos:

* Correo + check valido, pudiendo cancelar la suscripción de aquellos correos indexados por el buscados que son alrededor de 182 resultados .

*Además obtenemos códigos validos para realizar el Open Url Redirection por ejemplo:

Donde al reemplazar el sitio que viene después de ‘&’ podemos realizar finalmente la redirección arbitraria como muestra este ejemplo hacia Google: 

http://news.lan.com/?YEmp.2v3Z**********&http://google.cl

Alcance:

Con esta información, podriamos generar perfectamente un ataque de phishing personalizado. Además de tomar en cuenta que ya un DataLeak por si solo es un problema a la privacidad.

Estado:

Me comunique con el encargado de seguridad de LAN y me comunicaron que estaban al tanto de lo que sucedía y habían levantado el tema hacia el área encargada hace bastante tiempo.

TimeLapse?
7  Noviembre: Comunique el Problema
17 Noviembre: Solución a los Resultados de la Búsqueda en Google.
22 Noviembre: Publicación.

Excelente y rápida respuesta del Encargado de Seguridad de LAN, muy amable, atento a los reportes, y a responder cada correo.

*/ FIN

Leer artículo original: LAN.COM | DataLeak & OpenUrlRedirection

FirefoxOS en tu PC

Buscando emuladores de Android, se me ocurrió que sería bueno también probar FirefoxOS, el sistema operativo de la gente de Mozilla para dispositivos móviles. Hacía rato que tenía ganas de probar este sistema, ya que Android me parece extremadamente invasivo, dándo acceso a Google y sus partnets a todo lo que haces con tus dispositivos. Tal vez la gente de Mozilla haga lo mismo, pero es bueno darle una chance y probar. Además en el sentido de la privacidad, confío más en Mozilla que en Google… aunque vale decir que no se puede confiar en nadie jejeje.

Sé que en España y algunos países de Latinoamérica, Telefónica está vendiendo celulares con FirefoxOS instalado. Desgraciadamente estos equipos todavía no llegaron a Argentina, así que no había tenido la oportunidad de probar el sistema.

Por suerte encontré que ejecutar FirefoxOS en una PC es extremadamente simple! tan sólo hay que instalar el add-on del simulador.

Veamos los pasos:

  1. Descargar el add-on para Firefox desde App manager add-ons.
    La versión 2.0 pesa más de 120MB, así que a esperar un poco.
  2. Una vez instalado, es posible acceder al simulador desde el App Manager. Al mismo se llega dando click “botón de menú -> Developer -> App Manager”, o bien escribiendo en la barra de navegación la URL about:app-manager
  3. En el App Manager damos “Start Simulator” y aparecerán en la misma barra los simuladores que tengamos instalados.
  4. Clickear el simulador que queramos ejecutar y listo!

Increíblemente simple.

Cabe aclarar que estos pasos funcionan en GNU/Linux, Windows y Mac.

Ahora, si no queremos abrir el firefox para ejecutar el simulador, encontré (mirando la lista de procesos), que se puede acceder ejecutando el siguiente comando (en GNU/Linux) desde la línea de comandos:

$HOME/.mozilla/firefox//extensions/fxos_2_0_simulator@mozilla.org/b2g/b2g-bin -profile $HOME/.mozilla/firefox//extensions/fxos_2_0_simulator@mozilla.org/profile -start-debugger-server 56807 -no-remote

En el comando anterior, reemplazar <perfil> por el nombre del directorio del perfil donde el simulador está instalado.

El simulador me demostró ser muy eficiente. Tan sólo consume 128MB de memoria (residente) y funciona muy fluido. Además la integración con el sistema es espectacular.

A probar FirefoxOS y ver que tal se comporta. Hasta donde ví, me gustó. Obviamente la lista de aplicaciones todavía es limitada, pero a medida que vaya ganando popularidad habrá más y más.

Referencia: Using the App Manager

Leer artículo original: FirefoxOS en tu PC

Entel expone nuevamente las facturas de sus clientes

La empresa de telecomunicaciones Entel nuevamente ha expuesto información sensible de sus clientes. Accediendo al subdominio mientelredfija.entel.cl es posible acceder a las facturas de sus clientes, simplemente modificando un ID en la url.

entel

Mediante la URL http://mientelredfija.entel.cl/efacturaWeb/FACTURANETVIEW.ASPX?EMPRESA=EPH&NUMDOC=XXXXXXXXXXXXXXX&TIPDOC=1 y modificando el ID correspondiente a la variable NUMDOC permite listar las facturas de sus clientes.

 

Factura de Empresa

Factura de Empresa

El problema fue reportado a la empresa responsable y ya se encuentra solucionado. Actualmente al intentar ingresar a la dirección muestra un mensaje de error.

Mensaje de error en entel.

Mensaje de error en entel.

Sin embargo, aun se puede acceder a alguna de ellas mediante el cache de Google, ya que estuvieron indexadas por el buscador durante bastante tiempo.

Leer artículo original: Entel expone nuevamente las facturas de sus clientes

Facebook: con fotos desnuda, colegiala era chantajeada.



Mexico.-

Un hombre identificado fue sentenciado a 12 años de prisión al ser hallado responsable de los delitos de pornografía y corrupción de menores de edad.

El sujeto amenazaba a una menor con mostrar a sus padres y amigos un video donde aparece desnuda, según la denuncia de la Procuraduría General de Justicia del Distrito Federal.

La mencionada grabación fue obtenida con engaños a la víctima. En mayo del 2012, el sentenciado contactó a la niña a través de Facebook haciendose como “Alejandro” de 15 años.

El supuesto amigo y su víctima iniciaron una relación sentimental. Durante ese lapso, ella le envió videos mostrando sus partes íntimas a pedido del depravado.

Después de un tiempo el sujeto inició su plan de extorsión: le pidió más vídeos y dinero a cambio de no mostrar la anterior grabación a sus padres o amigos en las redes sociales.

Un comportamiento típico en las etapas del Grooming

Finalmente, la justicia mexicana demostró los delitos gracias a los datos aportados por la agraviada y condenó  al hombre a 12 años de cárcel y al pago de una reparación civil.

Fuente

Leer artículo original: Facebook: con fotos desnuda, colegiala era chantajeada.