Iloo

http://iloo.wordpress.com

Web Applications Security: www.coteor.net.bo (1)

Este post no es tanto una prueba de seguridad más bien la notificación de un bug de seguridad bueno uno enorme, inicialmente intente comunicar de esto a la empresa, pero no encuentro ningún correo de contacto en su sitio (o_O), ni tampoco en la guía telefónica y eso que esta empresa brinda el servicio de Internet, telefonía, cable, etc, bueno ya lo dice su nombre Cooperativa de Telecomunicaciones Oruro (www.coteor.net.bo).

Pero vayamos al grano el bug o agujero de seguridad se encuentra en la aplicación para el seguimiento de horas en el servicio dial-up (si, la empresa ofrece servicio dial-up, y a precios demasiado altos y ni siquiera cuenta con un plan ilimitado), la aplicación encargada del registro se llama Orion (o al menos eso supongo) desarrollada por la empresa Solintec (cosa que también supongo, por el nombre de la dirección y los banner’s) y se encuentra en http://orion.coteor.net.bo/orion/usuarios/

La cosa es que esta aplicación genera logs en una dirección que cualquier persona tiene acceso, estos log’s se generan cada hora durante todo el día, y almacenan información delicada de las cuentas (nombre de usuario y contraseña a demás que no están codificadas ni cifradas) también información de la persona que se conecta (línea telefónica, fecha y hora).

Se puede apreciar todo esto en la imagen anterior (ojo que los datos ya no sirven ya que todos son de las tarjetas prepago del mes de enero, tal vez alguien pueda hacer un generador de cuentas y contraseñas XD)

Ya con estos datos y un programa para ocultar o cambiar el id telefónico uno ya podría empezar a usar la cuenta de acceso a internet de otro usuario (aunque sea dial-up).

Algunos datos interesantes que se pueden encontrar (a parte de los datos de acceso) son:

  • Cuentas de administrador, obvios: admin y administrador con sus respectivas contraseñas.
  • También para las personas que tienen contratado un plan estos datos son los mismos que se usan para acceder las cuentas de correo electrónico.
  • Siempre hay personas despistadas que ingresan sus datos de otros correos por ejemplo: hotmail, yahoo, gmail cosa que no ingresa ya que es otro servidor de correo pero estos datos son almacenados por la aplicación y guardados en los archivos log’s.

La recomendación es clara, arreglar el bug de la aplicación ya que los datos (privados) de toda una ciudad son visibles a cualquier persona que de con la dirección donde se almacenan estos datos.

About these ads

2 Respuestas a “Web Applications Security: www.coteor.net.bo (1)

  1. Boris Barroso 22/07/2010 en 2:38 PM

    Saludos, es interesante ver la seguridad de portales Web que tienen problemas, hay que comenzar a hackear estas páginas para que en el desarrollo exijan una mayor calidad. Buen trabajo (XSS, CSFR, Header injection)

    • Administrador 22/07/2010 en 5:48 PM

      Bueno, tanto como comenzar a “probar la seguridad” si. pero también creo que hay que hacer notar estos problemas a sus administradores (cosa que siempre hago, con excepción de este, ya que no vi como hacerle llegar el problema XD)

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 31 seguidores