Hola de nuevo lectores.
Lo primero de todo Feliz Navidad y felices fiestas.
Escribo éste post porque me ha pasado una experiencia curiosa con una web de una multinacional internacional,
Resulta que uno de mis "trabajos" consiste en mirar vulnerabilidades de sitios web y hacérselo saber a los responsables de las mismas.
Bueno pues mi periplo comienza cuando hace unas semanas resulta que navegando por la website de una multinacional del mundo de las comunicaciones, consigo de forma totalmente libre y sin forzar ningún acceso, descargarme dos archivos .zip en el que explican cómo configurar su app para que Smartphone con sistema operativo IOS y Android puedan comunicarse con su plataforma logística e interaccionar de forma cliente - servidor y viceversa.
En ese momento me quedé en sock. Una empresa de esa magnitud, con esa supuesta seguridad que venden por activa y por pasiva y que todo el mundo presupone que es totalmente fiable, pudiese tener ese "agujero" de seguridad informática en abierto y al alcance de casi cualquier persona.
Una vez recuperado de esa situación, me pongo a trabajar e intento ponerme en contacto con los responsables de la web para comunicar ese "BB" (Big Bug). Y digo bien "intento" porque ya sea por e-mails corporativos ó incluso llamando por teléfono no he recibido respuesta alguna.
Todavía a día de hoy sigo esperando que algún responsable de esa Macro Corporación Internacional se ponga en contacto conmigo para que de forma totalmente altruista le comunique los datos oportunos para que puedan subsanar ese BB.
Me parece increible que en 2016 y casi 2017 empresas de ese calado no pongan ningún interés en la seguridad informática de su web ni en su reputación digital. Tantas horas de conferencias, tantas horas de concienciar a directivos y representantes de empresas para que nadie haga nada y se quede todo en la seguridad del silencio (si no digo nada, nadie sabrá lo que pasa).
Me considero una persona respetuosa y con valores, pero ¿qué pasaría si en vez de descubrir ese error yo, lo descubriese otra persona sin escrúpulos? ¿Qué pasaría si descubre ese agujero de seguridad alguien que se dedicase a tirar por tierra todas las comunicaciones de los Smartphone IOS y Android vía app con esa multinacional?
Todavía falta mucho por hacer en temas de Hacking y Seguridad Informática y sobretodo en temas de concienzación de empresas y particulares.
Yo continuo a la espera de que alguien se ponga en contacto conmigo para decírselo. Que forma más sencilla de ahorrar millones y millones de Euros, ¿Verdad?
La verdad no es lo que tus ojos ven. ¡¡¡DÉSCUBRELA!!!
Os espero en mi próxima entrada.
Seguirme en @luisgarciaqaz
