Con todo lo que ha ocurrido hoy con P.C. Green, no he podido evitar el echarle un vistazo a su web.
He quedado francamente sorprendido. Hacía mucho que no veía un sitio potencialmente vulnerable a todos los ataques de intrusión.
Así que he decidido hacer un artículo comentando las malas prácticas que se utilizan en esa web, para que sepamos aquello que es potencialmente inseguro, y por tanto deberemos evitar.
Por ética, he decidido avisar a P.C. Green antes de publicar el artículo, de esta forma disponen de un margen de tiempo para corregir los problemas, antes de que queden expuestos al público. La norma no escrita, dicta un período de 48 horas, así que tendréis que manteneros a la espera.
Perfectamente podría no haberles avisado, o darles un período de tiempo menor, pero creo que se trata de que todos aprendamos con su análisis lo que no debemos hacer, por tanto, sin este aviso previo, no estaría predicando con el ejemplo.
Para abrir boca, aquí va el email que les he enviado:
From: Javier Gutiérrez Chamorro
To: P.C. Green
Date: Mon, 31 Jan 2005 20:59:28 +0100
Subject: Riesgos de seguridad
Estimados señores de P.C. Green,
Soy Javier Gutiérrez, y escribo en mi bitácora
(https://www.javiergutierrezchamorro.com), fundamentalmente sobre tecnología y programación.
Por motivos varios he conocido vuestro sitio web, y he tenido la oportunidad de echarle un vistazo superficial.
Sinceramente, hacía mucho tiempo que no veía algo tan mal desarrollado.
No entraré en las deficiencias del contenido, ni del diseño, ya que no son mi especialidad, pero si que me gustaría advertirles de graves riesgos de seguridad en la implementación que sufren actualmente:
– Vulnerabilidad a ataques con inyección SQL en multitud de puntos.
– Revelación de detalles técnicos de implementación a través de las notificaciones de errores del servidor.
– Posibilidad de ser utilizado como plataforma para el envío de emails a terceros.
– Riesgo de inserción de código HTML arbitrario dentro de la zona principal de contenidos.
– Debilidad respecto a ataques de denegación de servicio.
…
En pocas palabras, su sitio es vulnerable a virtualmente cualquier ataque.
Estoy convencido de que se hacen un poco a la idea de la gravedad del asunto, por lo que me veo en el deber moral de comunicárselo previamente a la publicación de mi análisis detallado, para en el caso de tener cualquier inconveniente me lo hagan saber.
Cordialmente.
has hecho bien en avisarles. que se espabilen. dentro de un par de días, liberas el análisis y que se jodan xD
Estoy intrigado. Te harán el más mínimo caso? Gente que no se preocupa por sus clientes ni por sus empleados, crees que les importará un carajo su web? Ya nos comentarás su respuesta.
Un saludo.
hola a todos pues yo tambien e teneido problema y los sigo teniendo, os explico compre el ordenador en abil-2005 y 30-junio-2005 no arranca el pc, lo llevo S.A.T. GREEN al cabo de los 2 dias voy a ver comno esta la cosa y entonces vino el disgusto me dicen que la placa base esta quemada por culpa de que la fuente de alimentacion avido un sobrecalentamiento y que la culpa es mia,y tengo que hacerme cargo yo de los gastos de la reparacion, y me dicen los S.A.T. GEEN que llame yo a mi seguro para que me cubriese yo pensaba que era una broma lo que me dicia pero era de verdad, le dije que estaba en garantia,pues na de na, les pedi la hoja de reclamaciones la rellene y despues no me la quesieron firmar,portrior me quise llevar el pc, y me querian hacer rellenar u formulario donde dicia que yo habia roto el pc. me siento engañado estafado y encima se burla de nosotros, no recomiendo para na PC-GREN durante las 2 horas que estuve reclamando entraron por lo menos 10 pc mas al S.A.T. GREN y con problemas salieron casi todos. esta es mi fatal experiencia que me esta pasando por ir a comprar a PC-GREEN no recomiendo que compreis en PC-GREEN son unos estafadores y se rien de los clientes.
y lo mas grave que me informado es que los conponentes que nosotro compramos ya saben ellos que son defestuosos.
y dejo mi nombre y mi correo para que creais en lo que os digo y os creais lo que dicen de PC-GREEN de las estafas que hacen no dejemos que se rian de nosotros
jose lopez
barrancoj@telefonica.net