EDICIóN GENERAL
472 meneos
1651 clics
El juez cita como investigado al denunciante del agujero de seguridad en la 'app' de Metrovalencia

El juez cita como investigado al denunciante del agujero de seguridad en la 'app' de Metrovalencia

El juez ha citado como investigado al denunciante del agujero de seguridad en la app de Metrovalencia y TRAM. Así consta en las diligencias previas emitidas por el juzgado de instrucción número 6 de València, quien emplaza al ingeniero a comparecer esta semana para prestar declaración.

| etiquetas: metrovalencia , seguridad
Comentarios destacados:                    
#11 #7 lo verías si no es SSL ( a menos que hagas un man in the middle con mitmproxy o similar ) . Lo que mas me flipa de este tema es que hizo una comunicación de la vulnerabilidad responsable y aún asi quieren empurarle en vez de darle una recompensa en bug bounty.
O se creen que los abogados les van ayudar cuando un chino loco les robe los datos o les funda el sistema?

Que alguien te audite el código y te enseñe los "agujeros" de tu sistema para que los parchees y lo haga de forma responsable es de agradecer . Lo que pasa que a la empresa que hizo la aplicación y a MetroValencia no les gusta que les pinten la cara.
Así aprenderá a no ayudar.
#1 Que se habra creido el jaquer ese.
#5 Pues un pretencioso engreido que quería ligar, y ha usado lo más fácil, y que nos pone a todos/as buscar una vulnerabilidad en una app. A la cárcel con el! :-D
#1 en EEUU ya le habrian ofrecido un trabajo. Aqui , se mata al mensajero
#1 No sé, imagina que entras a tu casa y te ves a un chaval sentado en el sofá y te dice, señor, esa cerradura que tiene ahí no es segura, alguien podría abrirla con una tarjeta de crédito como he hecho yo. Y luego te da las buenas noches mientras se pira por la ventana y te dice "esta ventana...también esta mal, eh, a ver si la arreglamos, que se abre con un empujoncito de mierda".
#41 En este caso el chaval en lugar de meterse en tu casa y tu pillarlo allí te ha llamado para decirte que la puerta no cierra bien y ha ido a demostrártelo.

Hay una importante diferencia.
#41 ya, la diferencia esque el chaval no ha entrado en tu casa, sino que te ha llamado
#48 #41 el chaval ha avisado a la empresa de la vulnerabilidad para que la arreglen. No se... mejor eso a que nadie los avise y haya cibercriminales explotando esa vulnerabilidad sin que la empresa lo sepa, no?
#41 Imagina que te llaman al móvil y es un chaval que te dice que te has dejado abierta la puerta de casa, y vas tú y le denuncias.
#41 Ahora imagina que construyeron un puente y un chaval dice que es inseguro porque las columnas que lo sostienen están sobre un pantano sin nigún tipo de sustento sólido.. Y viene el juez y mete preso al chaval por señalar eso.
#1 No good deed goes unpunished, ninguna buena acción queda sin castigo, que dicen por ahí.

Que lástima que tantas y tantas veces sea verdad.
Y esto es el esperpento...hay un problema, lo denuncio...y como castigo te crujo.
#2 Por eso no se hace así.
Avisas anónimamente. Das un plazo razonable y lo haces público.
Si no lo haces público después de un plazo y solo amenazas, no lo arreglan jamás. Por que por un lado están sus intereses económicos y por otro los datos de la gente. Pista, pesa más el dinero siempre.
#17 El se lo comunicó, dijeron que lo habían resuelto, él comprobó que era falso y entonces presentó una denuncia ante la AEPD. Y entonces es cuando le denuncian a él.
#30 El se lo comunicó, dijeron que lo habían resuelto, él comprobó que era falso y entonces presentó una denuncia ante la AEPD. Y entonces es cuando le denuncian a él.
Las partes mal hechas en negrita.
Los problemas de seguridad no se arreglan con denuncia a protección de datos si no haciendo el fallo público de forma anónima.
No entro en el punto de vista ético, moral o legal, solo en qué es lo que funciona y lo que funciona es hacer públicas las vulnerabilidades.
#34 No te quito una coma de razón en cuanto a efectividad. Triste, pero cierto. Pero también es una cuestión de responsabilidad. Y lo que hay que pelear es para que estos "sin sentido" como el del artículo no tengan recorrido legal.
#53 Incluso con una legislación y justicia que a todos nos pareciesen perfectas las empresas grandes tienen firmas de abogados a las que pagan estén en los juzgados o mano sobre mano.
Esa lucha está perdida, hay que librar las batallas que se pueden ganar. Esa creo que ni se puede ni hace falta a efectos prácticos.

#52 Precisamente, por eso para ellos es peor el fallo de seguridad conocido y parcheado en un par de días que años de acceso a los datos de sus clientes. Ojos que no ven (clientes) corazón que no sufre (bolsillo de la empresa).
#34 Es que no es una vulnerabilidad: es una "feature"...hay que joderse...que verguenza de país.{palm} :palm: :palm:
#17 Lo que realmente pesa para esas "cabezas pensantes" es el "qué diran". Lo que realmente les molesta es el daño a la imagen corporativa. Lo importante no es que sea seguro, sino que lo parezca, que la gente crea que lo es. Lo que se conoce como "falsa sensación de seguridad".
#52 No te voto positivo mil veces porque no puedo. Esa discusión la he tenido yo ya mil veces en mi trabajo :-(
Qué ridículo están haciendo. Pues nada, al próximo que descubra vulnerabilidades así, que siga el procedimiento para venderla por un cuarto de bitcoin a algún interesado, y ya le habrá salido mucho más rentable que a ésta persona.

O que se la guarde para sorprender en entrevistas de trabajo 8-D
La culpa del mensajero¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ xD xD xD xD xD xD xD
Está en Valencia, si se hubiese lucrado y se hubiese llevado millones de euros del erario público no hubiese pasado nada.

Ahora bien, ha juankeado la app del metro? A la cárcel con él, así aprenderá.
#18 En Valencia ya no gobiernan, cosa que no se puede decir de otros sitios de España donde también se han llevado millones de euros públicos. :-O Y las leyes son las mismas en toda España.

Por otra parte, menudos mediocres los de FGV.
#24 no gobiernan ahora pero los jueces que ascendieron cuando lo hacian ahi siguen debiendoles unos cuantos favorcitos.
#28 claro, porque a los jueces los eligen los alcaldes...
#57 claro, porque en la comunidad valenciana no estuvieron gobernando los apandadores durante años y años
#58 y son ellos los que eligen a los jueces, verdad?
#62 los ascensos los determina el espirutu santo si te parece
#65 a ver, para que me quedé claro. Estás diciendo que los jueces son designados a dedo por el gobierno de la comunidad autónoma y/o los alcaldes? Es eso lo que afirmas?
#66 aqui el unico que ha sacado a pastar a los alcaldes eres tu
#67 pues contesta por favor, quien elige a los jueces y cómo el gobierno de la ccaa tiene relación con dichos nombramientos
#68 por favor aprende a buscar en google que ya vas siendo mayorcito para andar pidiendo a los demas que te hagan las busquedas.
#69 vamos, que no tienes ni puta idea pero vienes a soltar tus cuñadeces. Guay.
Deja de hacer el ridículo, anda.
#72 para eso te bastas y sobras tu solito
#73 xD xD xD claro que sí hombre, soy yo el que ha dicho la gilipollez de que son las ccaa las que eligen a los jueces.
A no, que has sido tú...
#74 no sabeis ni leer, ni entender lo que leeis, bueno o igual eres realmente tan ignorante que desconoces que las ccaa tienen sus propios tribunales superiores de justicia y que participan en la eleccion de su composicion, todo es posible.
#75 xD xD xD claro que sí. Ahora resulta que todo es posible... Aunque de elegir a los jueces hemos pasado a participar en su elección.
Venga, tú puedes. Sigue buceando en Google a ver si encuentras algo que te de la razón en tu delirio, mientras, sigue haciendo el ridículo.
Ánimo!
#76 cuando tres caritas sonrientes son tu mejor argumento...
#77 no son caritas sonrientes, son carcajadas en tu cara. Eres tú el que insiste en que los jueces han sido puestos a dedo por el gobierno de la ccaa. La ley del poder judicial desmiente esa afirmación, y ya te he pedido algún dato que la avale, como no lo aportas, pues seguiré riéndome de ti y tus tonterías. Ya que tú único argumento es llamar ignorante a los demás...
#78 lo dicho, ni leer sabes pero en fin, pobres de los que tengan que aguantarte todos los dias.
#79 joder, pero dame el enlace o la ley donde dice que los jueces los nombran desde el gobierno de las ccaa y deja de salirte por la tangente. Esa es TU afirmación, no la mía.
O eso, o mientes, o sencillamente eres un cabezón ignorante. Me decanto más por la segunda opción.
#80 a tu edad y que no seas capaz de hacer un busqueda en google es muy triste y eso de andar exigiendo como si los demas te debieramos algo tambien, espabila.
#81 vamos, que te han pillado con el carrito de los helados mintiendo.
Pos fale.
Enga, hasta luego.
#24 FGV sigue siendo una casa de putas pero con distinto chulo, de verdad.
Así es la inquisición marca españa.
Moraleja: busca y colecciona vulnerabilidades, con la calidad del software que se hace acá (léase cárnicas) hay por montones, y vendelas en la darknet. Hazlo todo en criptomonedas, sé anónimo y luego lárgate de este país de pandereta.
Alguien que sepa del tema.

Si el problema es un token, ¿necesita realmente descompilar la app? ¿No le vale con wireshark para hacer sniff a la red y analizar los paquetes?

¿Es ilegal hacer sniff a los paquetes que vuelan en tu propia red local?

Yo lo he hecho una vez para demostrar a una gente que si no ponían https en su wordpress cualquiera podría robarles las credenciales de acceso... ¿Voy a ir a la cárcel por hacer usar wireshark en mi propia wifi?
#7 Por lo que yo entendí, se utilizaba la misma clave para todo el mundo para cifrar las conexiones desde el móvil del usuario al servidor de MetroValencia. Si esnifas paquetes verás una comunicación cifrada pero no debería ser posible saber con qué clave se ha cifrado.
Por eso descompiló la app y allí vio la clave.
#8 ¿ A eso no se le llama "token", sino "clave", no ?

Cosas de periodistas, supongo.
#9 En mi limitada experiencia...
En servicios de cloud, se llama contraseña si hay un usuario asociado a ella.
Si no hay usuario, se llama token a lo que usas para solicitar la autorización.
#9 Yo lo he llamado "token" toda la vida. Una cadena de seguridad entre el cliente y el servidor.

Para ser exacto, ahora mismo lo llamamos "churro".

También me pregunto cómo han podido no tenerlo ofuscado, por ejemplo proguard funciona por defecto en Android, desconozco si le dio por decompilar la versión ios.

Se me ocurre que lo tuvieran en un archivo de configuración suelto, sin ningún tipo de seguridad, por lo que se podía leer con un simple winrar.
#7 #11 En realidad, si la defensa del denunciante es medianamente buena y el un poco avispado, podrá explicar al juez que el no estaba haciendo nada malo. Que yo sepa no es ilegal decompilar una aplicación. Puede ser ilegal el acceso a los datos ajenos, ser ilegal la redistribución de software y, hasta cierto punto, la modificación de este. Pero no es ilegal decompilar una aplicación para saber que esta haciendo realmente, de la misma manera que no es ilegal abrir el capó de un coche y mirar…   » ver todo el comentario
#15 No hace falta llegar a acceder a datos personales de otras personas. La ley es mucho más vaga:

El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
#16 vulnerando las medidas de seguridad. Pero compilar no es una medida de seguridad.
#16 la clave de cifrado no es la clave de acceso al servidor, es la clave que se utiliza desde tu dispositivo para intercambiar tus datos con el servidor, no los datos de un tercero, los tuyos.
Que esa clave sea la misma para todos no implica perse que accedas a información de terceros, para ello tienes que acceder a la red del 3o (es decir su wifi o su conexión de datos) e interceptar los paquetes tcp.
#42 Si accedió para demostrarlo, ya está. Quería decir que no es necesario que llegara a acceder a los datos personales de otro. Si se limitó a extraer la clave y no hizo nada con ella, entonces no cometió delito, no.
#16 "a un sistema de información" ahí se referirian al servidor, no a la apk
#15 el problema que va tener es que son términos muy técnicos para un juez, con lo que se basará en los peritajes y si hay algún informe de la policía. Y esos conceptos para un juez le sonarán a chino , por lo que puede ser una lotería. Algún día habrá algún juzgado sólo para los delitos tecnológicos...tiempo al tiempo
#8 #7 apesta a aplicación en android (que se puede revertir fácilmente con un dex2jar), que tenía el token hardcodeado
#8 pero si hoy se hace todo via https, por lo que "esnifar" es inutil. Entiendo que en el caso de esta app el ssl no lo tendrían puesto
#7 Si monitorizas en tu red, debes anunciarlo previamente para que tus familiares y visitas decidan si se conectan a tu wifi.
#7 lo verías si no es SSL ( a menos que hagas un man in the middle con mitmproxy o similar ) . Lo que mas me flipa de este tema es que hizo una comunicación de la vulnerabilidad responsable y aún asi quieren empurarle en vez de darle una recompensa en bug bounty.
O se creen que los abogados les van ayudar cuando un chino loco les robe los datos o les funda el sistema?

Que alguien te audite el código y te enseñe los "agujeros" de tu sistema para que los parchees y lo haga de forma responsable es de agradecer . Lo que pasa que a la empresa que hizo la aplicación y a MetroValencia no les gusta que les pinten la cara.
#11 Y no les gusta que les pinten la cara porque seguramente se pagó un pastizal por la app... Que se fue en cenas, viajes, dinerito para el de la empresa (que no sus trabajadores), sobrecostes, y chanchullos varios
#13 No, desde que cambió la alcaldía ya no funciona así.

Y no es porque los nuevos sean santo de mi devoción, pero sí que conozco dos pymes que han hecho programas para el ayuntamiento y lo han hecho sin sobres ni mordidas. Antes ni se lo planteaban, porque todos sabían que la única forma era llenar un apartamento de putas y coca.
#21 metrovalencia es gestionado por la comunidad, y sí, a nivel de metrovalencia sigue siendo así internamente.
#11 Buena descripción. No conozco los detalles del caso, pero asumiendo que el ingeniero eso no estaba robando datos para su interés, me sorprende y mucho lo que están haciendo.
#7 Si la aplicación usa SSL y certificate pinning o la decompila y saca lo que le interés de ahí o la parchea para eliminar el pinning ya que ni instalando una CA propia para hacer un MitM funcionaria con el pinning.
#19 interesante. No caía en la cuenta de que una aplicación puede negarse a aceptar un certificado que no conozca.

El desarrollador de una app tiene más control que el de una web.
#20 son paradigmas diferentes, en el caso de una web el cliente se conecta con un navegador genérico al servicio. Hacer un MitM de SSL a un navegador hoy en día también está más complicado, si no tiene la CA te va a soltar error y ya si el usuario se lo salta se lo merece.

Las apps son clientes que hace un dev para un servicio, por lo que puede hacer pinning y evitar cualquier otro certificado dando igual que sean de una CA reconocida incluso. Aquí entran problemas como que al actualizar el…   » ver todo el comentario
#7 no es ilegal esnifar los paquetes de tu propia red wifi, faltaría más. A ver si ahora las apps van a poder enviar los datos que quieran a donde quieran y encima tú, que el día de mañana eres el responsable de esa IP, no puedes ni verlo ni impedirlo.

Redes de otros, no lo sé, y paquetes de un dispositivo que no sea tuyo igual es un poco turbio. Pero tú dispositivo en tu red... Claro que sí
#22 Las comunicaciones son inviolables como derecho constitucional. Todas. Es decir, es un delito incluso abrir una carta de tu hijo, o escuchar la conversación de tu mujer desde otro teléfono fijo de tu casa. Puedes esnifar paquetes de tu red, entendido como acceder al contenido de una comunicación, pero sólo si son de tus propias comunicaciones. En este caso, puedes snifarte a ti mismo accediendo a una aplicación y descubrir una vulnerabilidad.

El problema legal es romper un sistema de…   » ver todo el comentario
#32 Luego llorarán cuando la gente se ponga a publicar exploits directamente en foros de seguridad informatica sin haber dado un tiempo de parcheo y el aviso. Que que malos son los hackers...

No dejan muchas alternativas...
Asi el próximo se lo pensara dos veces...
Haber pedio unos trajes!
Cualquier persona incluida el juez deberia darse cuenta que el encausado trato de denunciar y advertir del problema en numerosas ocasiones y sin mala fe de ningun tipo. Y espero que FGV le toque pagar costas y una buena indemnizacion a este ingeniero.

Veremos pronto cuan buena o mala es la justicia de nuestro pais.
mentir es lo que sueles hacer tu cada vez que tocan a tus corruptos favoritos o a sus titeres, no te confundas.
Para la próxima, robo de datos, venta en cripto y a correr.
Españistán, El Estado del Puro.
Es lo mínimo que puedes esperar de un país donde todos los altos cargos, políticos, jueces, etc... son analfabetos tecnológicos integrales. Hablamos de gente que navega con el Explorer y le llama "le internet"...
Es como si fueras a la Edad Media a pedirles que legislaran sobre normas de tráfico aéreo.
Pues ya sabés, el próximo bug, lo explotáis y os forráis. Al menos no os tocarán los cojones unos gilipollas.
#27 la próxima vez les reventarán la base de datos de usuarios, la publicarán anónimamente en internet, y con suerte alguien les denuncia a la agencia de protección de datos para que les caiga una multa
Pa que se le quiten las ganas

menéame