[HACK] Descubiertos varios fallos de seguridad en Iberia.com

Crono crono at phreaker.net
Tue Jun 8 11:33:09 CEST 2004


----- Original Message ----- 
From: "Sergio de los Santos" <s.delossantos at forzis.com>
To: <hacking at argo.es>
Sent: Sunday, June 06, 2004 2:02 PM
Subject: [HACK] Descubiertos varios fallos de seguridad en Iberia.com

> Tras ponerse en contacto con la empresa interesada en repetidas ocasiones
> y no recibir respuesta, Hugo y Tony han decidido hacer público su
> descubrimiento a través de esta nota de prensa. Cabe recordar que este es
> el protocolo típico a seguir ante el descubrimiento de un fallo de
> seguridad en algún sistema importante. Los investigadores deben ponerse
> inmediatamente en contacto con la compañía avisando del problema y
> aportando soluciones para que se solvente lo antes posible e impedir que
> el fallo afecte a los usuarios. Si tras repetidos intentos la empresa
> hiciera caso omiso, la obligación de los descubridores es hacerlo público
> para que todos sean conscientes del error y puedan elegir si hacer uso o
> no del servicio.

¿Repetidas ocasiones? Según en vuestra página, decis, que lo comunicasteis
el
dia 3 de Junio a Iberia, ¿y tan solo 1 dia despues lo haceis público?.
No veo yo ahi muchas ganas de comunicar a Iberia nada... más
bien ¿conseguir un poco de fama volatil?

"protocolo típico a seguir ante el descubrimiento de un fallo de
 seguridad en algún sistema importante"
¿Que protocolo? Yo no conozco ningún protocolo, es más, no deberias ni
de intentar descubrir ningún fallo en ninguna página: Iberia no te ha
contratado
en ningun momento para eso.

"la obligación de los descubridores es hacerlo público". Vamos, esto si
que es la repanocha ya, o sea, que como en 2 dias no te ha dicho nada Iberia
(habría que ver a quien se lo comunicaste), el descubridor ya esta
legalmente
autorizado a publicar el fallo de seguridad, ¡¡incluso está en la
obligación!!.

Me temo que te equivocas. De hecho, si yo fuera Iberia, iniciaria
procedimientos
judiciales contra ti, por vulnerar y PUBLICAR secretos (como son esas
contraseñas),
y por acceder a un sistema de control/gestion privado usando contraseñas
identificativas que
no te pertenecen. Es más, si alguien, antes que tu, ha usado ese fallo u
otro, para robar
tarjetas de crédito de Iberia, y luego ese sujeto ha hecho uso de esas
tarjetas robadas,
se te podría culpar a ti de esos robos facilmente; por no hablar, de que si
ha dia de hoy
esos fallos persisten, y alguien hace uso indebido, te van a buscar a ti.

Y esto lo hablo con conocimiento de causa: no es la primera vez en
este pais, que se juzga y se condena, a un "cabeza de turco", pues
es más facil encontrar a este último, que al verdadero autor del
delito (hablo de delitos tecnologicos).


No quiero que se vea en este e-mail una crítica hacia Hugo o Toni, sino más
bien un
consejo, pues te aseguro, que con la publicación del fallo, lo único que
haces es
perjudicar a la empresa (y eso ya les da un motivo a ellos (Iberia) para
perjudicarte a ti;
 y no "para que todos sean conscientes del error y puedan elegir si hacer
uso o
no del servicio".
Si realmente quieres dar a conocer la inseguridad de Iberia, hazlo, pero sin
decir como se hace.

Además, que tampoco es bueno que publiques textos en los que afirmes que es
obligación
del descubridor del fallo de una empresa, el publicarlo...





More information about the hacking mailing list