2 de Febrero 2010

Hackeando voy: ¡El retorno de the_h4x0r! ¡Esta vez es Facebook!

Hace unos meses alguien se coló en la web del PP valenciano y se dedicó a cambiarle la cara. Casualmente, yo estaba en mi puesto de vigía aquella noche (mejor no perder de vista a los peperos ni un momento, que luego nos la lían) y el tema me mantuvo bastante entretenido. Le cambiaron la carita tres veces. Mientras yo montaba guardia, un sevillano llamado the_h4x0r (a quien, con efecto inmediato, nombro colaborador oficial de este blog) encontró una vulnerabilidad similar en la web de sus adversarios políticos, el PSPV (PSOE) de la ciudad de Valencia. Pero the_h4x0r no aprovechó la debilidad para colar fotos de Rosa Díez o Sheldon Cooper, con lo divertido que habría estado, sino para darles el aviso en forma de pop-up. Otra historia de las buenas.

Ahora ha vuelto a este, su blog, para informar del último fallo de seguridad que ha encontrado en una página web. Y esta vez no son naderías, nada de partiduchos locales cutres, sino el mismísimo Facebook, el puto CaraLibro. O al menos, una vulnerabilidad en una de sus aplicaciones. Os dejo con el mensaje que ha dejado como comentario en la entrada anterior:

Muy buenas amigos de nosigasleyendo. Ando muy ocupado sere breve no e encontrado otra zona donde postearlo.

Poes bien e encontrado un error sql en faceboock. ya e avizado al administrador de la web mediante mi correo electronico. en la injection sqli se pueden ver las tablas de la db (base de datos) aqui la injection sqli

[Enlace con inyección a la página de una app de Facebook]

un saludo y gracias por buestro apollo. las password de los usuarios estan en sha1 emcriptadas muy emcriptadas pero realmente digo... faceboock no deveria de tener mas seguridad?

bueno saludos

Panel de control de una app de Facebook

Los datos en sí están tapados, claro.

Dudo mucho que nadie que vaya a leer esto haya añadido esta aplicación a su perfil, ya que se trata de una página de noticias serbias. Podéis dormir tranquilos... al contrario que los administradores web descuidados, que ahora y siempre deberán temer al guardián que nunca duerme, al avisador incansable, al azote de la seguridad sostenida con chicle, al poderoso the_h4x0r. Y a su valeroso compinche, the_m4n∪, claro.
 

Enviado por Manu, 2:49 AM | Comentarios (0) | TrackBack
Licencia CC

29 de Octubre 2009

Hackeando voy: Y al PSOE de Valencia le dan un hackeo de aviso

Antes de dormirme hoy imaginaré que, unas horas más tarde, en la sede del Partido Popular de Valencia están tirándose de los pelos, corroídos de envidia. Porque aunque su página web no tenía más agujeros de seguridad que la del PSOE, a ellos se la han pringado hasta arriba de enlaces malintencionados mientras que la de sus rivales se ha llevado solamente unas cuantas faltas de ortografía y una sonrisa.

Cuenta h4x0r en los comentarios de la entrada anterior que ha descubierto una vulnerabilidad igual de seria en la web del PSOE de Valencia que la que apareció anteanoche en la del PP. (Lo que, por cierto, lleva a pensar que o bien los dos partidos encargan la web a la misma empresa o a todos se las diseña un sobrino enchufado.) Solo que en esta ocasión h4x0r ha decidido avisar a los socialistas valencianos, inyectando un bonito pop-up que salta al pinchar en el «por favor leelo», que ahora mismo es la única noticia que presenta a los visitantes.

Hackeo PSOE Valencia - 1

Hackeo PSOE Valencia - 2

Así que me voy a dormir, que quiero ponerme a imaginar eso que decía al principio. Y si esto se convierte en costumbre y alguien hackea a otro partido valenciano, por favor que avise en los comentarios, que me soluciona las entradas cosa mala. Unión Valenciana seguía existiendo, ¿no?

Actualizado 15:36: El administrador de la web del PSOE ha contestado al amigo h4x0r, quien amablemente ha copiado el e-mail en los comentarios. Lo reproduzco aquí sin editar:

Antetodo, gracias

Comentarte cosas....

La Web tiene ya unos años y no son conscientes de lo que manejan, ni de lo que puede repercutir sobre su imagen, les avise de ciertas cosas que se deverian hacer y como no, caso omiso, me he tenido que enterar, por q no podian entrar al panel, ni se habian dado cuenta de los cambios que habias efectuado.

He efectuado algunos cambios, sin su consetimiento, si fueras tan amable de verificar que esta todo OK, te lo agradeceria, todo sea que luego me digan que lo vuelva a dejar tal y como estaba.

Tanto que comentar y tan poco tiempo...
 

Enviado por Manu, 5:26 AM | Comentarios (6) | TrackBack
Licencia CC

27 de Octubre 2009

Hackeando voy: El PP-Valencia hackeado... tres veces

Esta noche la web del PP valenciano ha sido objeto no de un hackeo (deface, para ser exactos), ni de dos. Tres veces ya en lo que va de noche, aunque el primer y el tercer ataque son casi idénticos. La verdad es que no sé a qué hora se ha producido el primer golpe porque estaba currando, aunque con toda seguridad ha sido antes de medianoche. Un tal kr0no le ha cambiado la cara a la web pepera y la ha dejado de esta guisa:

Web del PP valenciano con la cara un poco cambiada

(Podéis ver la captura completa en grande;
esta imagen es del tercer cambio de cara,
que en realidad es clavadito al primero.)

El amigo kr0no, aparte de pegar cuatro gritos y dejar tres enlaces (1, 2 y 3) donde el PP no presenta precisamente su mejor cara, aprovecha para declarar su amor por una tal Lara, un gesto precioso aunque (como dice Netoratón) esté feo poner el nombre de tu amada junto al de Camps. Y un mensaje tranquilizador al final, para el webmaster del PP: «Nada ha sido borrado». Todo ello, acompañado por el audio de este vídeo de YouTube.

A eso de las 2:15 de la mañana la web había recuperado su aspecto original, pero unos minutos más tarde alguien ha vuelto a darle ritmo:

Segundo hackeo PP Valencia - 1

Probablemente una gente distinta, claro. O al menos alguien ya no tan ansioso por expresar su amor hacia la misteriosa Lara. Dándole al enlace se accedía a la noticia en sí:

Segundo hackeo PP Valencia - 2

La foto de la imagen muestra a Alfonso Rus (presidente del PP de Valencia, que cuenta en su haber con titulares como llamar gilipollas a los profesores por expresarse correctamente en valenciano) acompañado de Rafael Blasco (conseller de inmigración, ex-socialista que se pasó al PP cuando ganó y acusado de bastantes chanchullos urbanísticos) y un montón de –supongo yo– militantes o simpatizantes peperos.

Pero nuestros defacers han debido darse cuenta de que se les había colado un montón de HTML mal hecho en la página principal, así que lo han arreglado un poco:

Segundo hackeo PP Valencia - 3

Sobre las dos y media de la mañana, la web volvía a presentar su aspecto habitual (por lo poco que entiendo yo, parece que este segundo grupo de hackers se ha limitado a introducir una noticia en el propio sistema de la página, con lo que supongo que habrá bastado con que un administrador la borre). Pero en menos de cinco minutos volvía a presentar una versión remozada del primer «lavado de cara», declaración de amor y audio rapero incluidos, que es la que sigue viéndose en el momento de terminar esta entrada.

A lo mejor es que me aburro mucho, pero a mí me ha hecho gracia.
 

Enviado por Manu, 3:42 AM | Comentarios (12) | TrackBack
Licencia CC