Que dificil es contactar al staff de Hola-Tu

Es interesante como el staff de la comunidad de Hola-TU y nipper son tan descuidados y a estos les importa nada su sitio, ni la información de los usuarios registrados en dichos portales.

Las primeras vulnerabilidades por gente que “conozco” (Realmente, solo lo he conocido por Messenger) en internet, fueron hechas por Her0, se que el probo con un SMS, sin embargo le dije que no lo hicira mas y acordamos no publicar nada al respecto mucho menos explotar en ninguna forma de beneficio dicho bug, así como ponernos en contacto con Hola-Tu para ofrecerles la consultoría, Supongo que en algún momento Hola-Tu se dio cuenta, por que “parcharon” la vulnerabilidad, no quiero ser irrespetuoso, pero quien la parcho, fue un novato, no me tomo ni 5 minutos encontrar una nueva, por que el código, no es nada seguro, aun con el conocimiento del nuevo bug como la primera vez hero y un servidor decidimos no publicar nada y mucho menos dejar que se explote, al menos de nuestra parte dicho bug y de nueva cuenta se intento poner en contacto con nipper y hola-tu.

Desde antes de Semana Santa e intentado ponerme en contactos con ellos, por medio de Cristian Castillo, el cual me respondió lo siguiente y ha sido la única respuesta que recibí del asunto.

David que tal?

Ya no estoy trabajando en HT o nipper, pero me encargo de enviar el correo a las personas correspondientes. Muchas gracias por seguir al tanto.

Saludos, Cristian

On Mar 15, 2008, at 12:00 PM, David Rivero wrote:

Al no obtener ninguna respuesta más de Cristian, fui a la zona de contactos de hola-tu, donde le envié un mensaje al “director” según cita el portal, avisándole de serias vulnerabilidades.

Poniéndome a sus órdenes y solicitando un permiso para hacer la demostración con una prueba de concepto, al día de hoy. Ni siquiera me han respondido para decir. No David, Gracias.

Las vulnerabilidades son serias, desde poder enviar SMS hasta hacer un vaciado de la DB obteniendo los datos de cada uno de los usuarios e incluso extracción de código de los sitios ambos escritos en PHP. Ojo aunque me gustaría decirles, por favor, no me pregunten cómo realizar las vulnerabilidades, ya que publicar esa información directamente en línea, sería tanto equivalente a dejar que cualquiera lea la información privada de cientos de usuarios de hola-tu.

Sin embargo, dichas vulnerabilidades ya son explotadas en internet, incluso circula parte del código fuente de Hola – Tu ya por ahí disponible para que otras personas lo puedan estudiar y encontrar las vulnerabilidades por cuenta propia.

Espero que Hola-Tu de alguna forma se entere de esto, ya que pienso que ni revisan sus email ni tampoco le llega la información al “director” desde la sección de contacto en la página web, por que pronto podría llegar alguien que encuentre estas mismas vulnerabilidades y no sea tan ético, dejando desprotegido a los usuarios de hola tu al robo de información.

Esto es parte de lo que ya circula en algunos grupos privados de hackers, no publicare todos los archivos ni siquiera alguno completo, la intención es que la gente de Hola-Tu vea lo verdaderamente critico de la situación, no asi darle armas a los lamers y delincuentes para el robo de información.

<?php
function conectar_servidor_base_datos ($servidor, $usuario,
$contrasena) {
    global $mostrar_errores;

    if ($enlace = @ mysql_connect ($servidor, $usuario,
$contrasena))
        return $enlace;
    else
        {
        // Si debemos mostrar errores
        if ($mostrar_errores==FALSE)
Otro archivo

<?php
/************************************************************************************************/
// Variables para el servidor de datos
$servidor_bd = ‘localhost’;
$usuario_bd = ‘holatu****;
$contrasena_bd = ‘****’;

// Variables de nombres para las bases de datos.
$bd_sistema = ‘m**********DB’;

$tb_amigos = $bd_sistema.’.holatu_amigos’;
$tb_accesos = $bd_sistema.’.acceso’;
$tb_avisos = $bd_sistema.’.holatu_avisos’;
$tb_ciudades = $bd_sistema.’.ciudades’;
$tb_estados = $bd_sistema.’.estados’;

Supongo que con estos pequeños fragmentos el staff de hola-tu podrá vislumbrar lo critico de la situación en el sitio.

La forma de contactarnos, al menos a mí, esta información está disponible en mi blog en la sección de contáctame.

Quedando a sus órdenes, sus servidores, Her0 y David (Last Dragon) Rivero

17 Comments

Add a Comment

Comment spam protected by SpamBam