¿Seria etico de avisar?

Estándar

op1aqe[1]

La foto solo es entendible si leéis la entrada completa

Quizás no sea el más acertado en escribir esta entrada ya que algunos de mis proyectos han tenido más chapuzas de las que he encontrado por ahí, y segurisimo que este blog, mis webs o servidores tienen fallos gordisimos de seguridad ya que para nada me considero un experto (ni siquiera principiante) en seguridad informática y mis conocimientos son como cualquier administrador de sistemas y redes y haría lo que podría hacer cualquier niño de hoy en día con un PC y aburrimiento.

Día a día y por aburrimiento audito webs de todo tipo, bien sea de colegas que me las envían para “presumir” de que saben instalar un CMS para la web en la empresa donde les explotan y tienen esos “fallitos” que nos ha pasado a todos como dejarse la administración con los passwords por defecto y poder observar pedidos de la gente que compra en la tienda, así como datos personales de los compradores… Que si encima se lo dices te dice: -Noo, si es que estamos de pruebas! (despues de 70 pedidos y 65 clientes…cuesta creerlo).

Otro de los tipos de webs que me gusta auditar son las de los organismos públicos, ya sabéis ayuntamientos, emplazamientos municipales y todas esas webs que se han pagado con mis impuestos a gente “Profesional” para que luego use un CMS con una versión de hace 4 años, sea muy fea, cutre y tenga más puertas traseras que un puticlub, así que claro cualquier XSS puede elevarte a ya sabéis donde…

Y por ultimo quizás la que mas me gusta es la de las ofertas de trabajo (aquí si que reconozco que hay mas resquemor que aburrimiento) son aquellas que te presentas por Infojobs, das el perfil y aun así te dicen “Tu candidatura ha sido descartada” y piensas – Es que la empresa será demasiado para mi… Aun así indago un poquito más y puedo comprobar como sus webs poseen comentarios HTML con los passwords que hay para la administración o para la conexión a la BBDD, como se dejan directorios como el de /uploads/ en 777, fichero robots con directorios de prueba y material sensible, incluso hubo una web que por primera vez me funcionó el “”or ‘1’=’1″… Así que no se realmente que buscan…

Por ultimo os voy a contar digamos una ultima “Gorda” que me encontré y de ahí la pregunta que da titulo al post:

Seguir leyendo

Entidad publica, más concretamente un sitio de enseñanza, los primeros días “Me aburro en clase” y decido ver un poco el aula virtual con 4 rutas aleatorias y un site: webdelaula en el cual descubro un .xml un tanto raro el cual tras acceder a el mediante dirección web (nada hacker bestia) veo que contiene TODOS LOS DATOS  DE TODA LA GENTE REGISTRADA EN ESE AULA VIRTUAL (nombres, apellidos, email, cursos que se ha inscrito…) y como no… Los passwords tanto de alumnos como de profesores!

Lo peor de todo es que pasan unos días y mi cabeza decía -cállate no vaya a ser que la líes, aunque mi conciencia me explicaba que si yo fuese el webmaster de esa plataforma me gustaría saber el fallo y como todos somos humanos corregirlos.

Como estudié allí hace unos años  conocía a un profesor fijo, decidí intentar hablar con el, comentarle lo que he expuesto anteriormente y su respuesta la resumo con el siguiente gif: op1aqe[1]

Vamos que de mi tonto supongo que por decirlo y que a de hoy supongo que seguirá online con mi datos de contacto personales (ya ni me quiero acordar de la ruta).

Y de ahí la pregunta que os lanzo, si es que alguien lee esto (que supongo que no…)

Es ético avisar a los responsables o directamente es mejor plantar una denuncia o hacerlo publico anonimamente y que se “coman” el problema y no duerman en unas cuantas noches?

Eso es todo, por mi parte deciros que la curiosidad mató al gato…!

Leave a Reply