Que dificil es contactar al staff de Hola-Tu
By: Date: marzo 29, 2008 Categories: Hackers, Tools y Retos

Es interesante como el staff de la comunidad de Hola-TU y nipper son tan descuidados y a estos les importa nada su sitio, ni la información de los usuarios registrados en dichos portales.

Las primeras vulnerabilidades por gente que “conozco” (Realmente, solo lo he conocido por Messenger) en internet, fueron hechas por Her0, se que el probo con un SMS, sin embargo le dije que no lo hicira mas y acordamos no publicar nada al respecto mucho menos explotar en ninguna forma de beneficio dicho bug, así como ponernos en contacto con Hola-Tu para ofrecerles la consultoría, Supongo que en algún momento Hola-Tu se dio cuenta, por que “parcharon” la vulnerabilidad, no quiero ser irrespetuoso, pero quien la parcho, fue un novato, no me tomo ni 5 minutos encontrar una nueva, por que el código, no es nada seguro, aun con el conocimiento del nuevo bug como la primera vez hero y un servidor decidimos no publicar nada y mucho menos dejar que se explote, al menos de nuestra parte dicho bug y de nueva cuenta se intento poner en contacto con nipper y hola-tu.

Desde antes de Semana Santa e intentado ponerme en contactos con ellos, por medio de Cristian Castillo, el cual me respondió lo siguiente y ha sido la única respuesta que recibí del asunto.

David que tal?

Ya no estoy trabajando en HT o nipper, pero me encargo de enviar el correo a las personas correspondientes. Muchas gracias por seguir al tanto.

Saludos, Cristian

On Mar 15, 2008, at 12:00 PM, David Rivero wrote:

Al no obtener ninguna respuesta más de Cristian, fui a la zona de contactos de hola-tu, donde le envié un mensaje al “director” según cita el portal, avisándole de serias vulnerabilidades.

Poniéndome a sus órdenes y solicitando un permiso para hacer la demostración con una prueba de concepto, al día de hoy. Ni siquiera me han respondido para decir. No David, Gracias.

Las vulnerabilidades son serias, desde poder enviar SMS hasta hacer un vaciado de la DB obteniendo los datos de cada uno de los usuarios e incluso extracción de código de los sitios ambos escritos en PHP. Ojo aunque me gustaría decirles, por favor, no me pregunten cómo realizar las vulnerabilidades, ya que publicar esa información directamente en línea, sería tanto equivalente a dejar que cualquiera lea la información privada de cientos de usuarios de hola-tu.

Sin embargo, dichas vulnerabilidades ya son explotadas en internet, incluso circula parte del código fuente de Hola – Tu ya por ahí disponible para que otras personas lo puedan estudiar y encontrar las vulnerabilidades por cuenta propia.

Espero que Hola-Tu de alguna forma se entere de esto, ya que pienso que ni revisan sus email ni tampoco le llega la información al “director” desde la sección de contacto en la página web, por que pronto podría llegar alguien que encuentre estas mismas vulnerabilidades y no sea tan ético, dejando desprotegido a los usuarios de hola tu al robo de información.

Esto es parte de lo que ya circula en algunos grupos privados de hackers, no publicare todos los archivos ni siquiera alguno completo, la intención es que la gente de Hola-Tu vea lo verdaderamente critico de la situación, no asi darle armas a los lamers y delincuentes para el robo de información.

<?php
function conectar_servidor_base_datos ($servidor, $usuario,
$contrasena) {
    global $mostrar_errores;

    if ($enlace = @ mysql_connect ($servidor, $usuario,
$contrasena))
        return $enlace;
    else
        {
        // Si debemos mostrar errores
        if ($mostrar_errores==FALSE)
Otro archivo

<?php
/************************************************************************************************/
// Variables para el servidor de datos
$servidor_bd = ‘localhost’;
$usuario_bd = ‘holatu****;
$contrasena_bd = ‘****’;

// Variables de nombres para las bases de datos.
$bd_sistema = ‘m**********DB’;

$tb_amigos = $bd_sistema.’.holatu_amigos’;
$tb_accesos = $bd_sistema.’.acceso’;
$tb_avisos = $bd_sistema.’.holatu_avisos’;
$tb_ciudades = $bd_sistema.’.ciudades’;
$tb_estados = $bd_sistema.’.estados’;

Supongo que con estos pequeños fragmentos el staff de hola-tu podrá vislumbrar lo critico de la situación en el sitio.

La forma de contactarnos, al menos a mí, esta información está disponible en mi blog en la sección de contáctame.

Quedando a sus órdenes, sus servidores, Her0 y David (Last Dragon) Rivero

17 thoughts on “Que dificil es contactar al staff de Hola-Tu

  1. Mozilla Firefox 2.0.0.12 Ubuntu Linux

    Realmente estos cuates son una porquería… mucho despliegue publicitario… mucha invitación… mucha «comunidad» y realmente no le veo el encanto. Si querían algo como el Hotel Habbo, Second Life o algo por el estilo… se quedaron cortos.

    Y viendo el cuidado que tienen con la atención al “cliente”. Dan asco.

  2. Mozilla 1.9pre Windows XP

    La experiencia de varios es que a ellos simplemente no les importa. Yo tambien he intentado contactarlos por vulnerabilidades de novato en nipper y en hola-tu. Inclusive en el caso de nipper intente contactar al fimpe (http://www.fimpe.org.mx/) que es la institucion encargada de la plataforma de pagos electronicos, pero ninguno respondio jamas. (http://www.masio.com.mx/no-te-registres-a-nippercommx/)

    Ya hay muchas personas que tienen agujeros en estos sitios y hasta ahora casi nadie ha hecho un full disclosure, pero parece que va siendo tiempo de que se haga.

  3. Debian IceWeasel 2.0.0.12 Debian GNU/Linux

    Nada neuvo mi estimado lastdragon desde hace ya muuuchos meses se reporto eso tanto para hola-tu como para nipper 🙂 pero ellos no hicieron caso

    no les importa laseguridad, solo generar trafico y listo.

  4. Mozilla Firefox 2.0.0.13 Windows Vista

    Problemas:

    – Haber encontrado la forma de poner en text/plain algunos scripts de php
    – Se puede subir n archivo a hola-tu ?
    – Si el servidor de Hola-Tu acepta conexiones remotas de MySQL entonces estan jodidos

    Saludos

  5. Internet Explorer 7.0 Windows Vista

    Masiosare:

    Ya leí tu artículo de Nipper, efectivamente, como dices Hola-Tu y Nipper son casi lo mismo, por que comparten servidor de base de datos, Yo no me fije en el DNS para sacar esa conclusión, esto queda confirmado en el código fuente.

    Mira.

    $tb_publicidad=$bd_sistema.’.holatu_publicidad’;
    $tb_extras = $bd_sistema.’.nipper_extra’;
    //$tb_productos=$bd_sistema.’.holatu_tienda_productos’;

    En alguna otra parte del codigo…

    $ruta_fisica = $_SERVER[‘DOCUMENT_ROOT’];
    $ruta_servidor_ = ‘http://www.nipper.com.mx/’;
    $ruta_completa_al_sistema = $ruta_servidor.”;

    Eso es parte del código fuente de hola-tu

    Vaya tu articulo tiene fecha del 7 de Diciembre del 2007

    No te registres a nipper.com.mx
    Posted by Masiosare
    December 7, 2007

    http://www.masio.com.mx/no-te-registres-a-nippercommx/

    y hasta hoy no te hacen caso, pues cuando me van a contestar a mi, ok pues el intento se hizo, todo parece indicar que no les interesa, Sigan el consejo de Mariosare, Simplemente no se registren ahí, y si ya lo hicieron, vayan modifiquen inmediatamente sus datos por falsos o bórrenlos.

  6. Safari 525.13 Mac OS X 10.5.2

    Hola que tal, antes que nada un saludo al Her0 y para ti David.

    Her0 ya me había mostrado algo de esto en una peda en casa del komtec1 en el D.F.

    Mi opinión al respecto es que ya esta muy prostituida esta información… Hay muchas porciones de código por muchos lados y se habla mucho del tema. Tan solo haciendo una búsqueda en google pasa lo siguiente:

    Results 1 – 10 of about 12,800 for seguridad hola-tu.com. (0.25 seconds)

    El primer resultado fue el siguiente: Hola-tu.com Advisory [Archivo] – Foros Raza-Mexicana – En donde se muestra un advisory por darko y crypkey.

    Entonces si nos ponemos del lado de la empresa, sería complicado decidir en cual de todos confiar, ya que no creo que sea la segunda vez que les reportan un bug. Y de seguro preferirán contactar a una empresa de las sección amarilla, en lugar de aceptar la ayuda de un hacker ético.

    En mi opinión como dicen en un post anterior. Muchas empresas no ven el valor de la seguridad informática. Hasta que llora el niño compran los condones.

    Yo creo que han hecho bien. No revelen la forma de explotar ese bug, ya que unicamente van a crear que chamakillos que no tienen para comprar crédito anden abusando del servicio para enviar SMS.

    Aunque en mi opinión personal si lo que buscan es ofrecer consultoría. Busquen la manera de hablar por teléfono con algun directivo de la compañía.
    Mandando correos muchas veces pueden ser interceptados por el Administrador de Sistemas el cual nunca revelará sus errores ante sus jefes.

    Traten de ponerle un formato bonito y unas gráficas de pastel en un archivo de Word ó Power Point jajajajaj ( Hace falta mencionar que no son mis programas favoritos, yo uso el Iwork de Apple.. para evitar la carrilla jajaja)

    Pero bueno, informando cumplen su parte.
    Ya si ellos deciden hacerse de la vista gorda.. llegará algún cabrón malicioso y les dará en la madre. Así es la vida. Pero de 10000 personas irresponsables encontrarán una que si este interesada en mejorar su seguridad y page el precio. Así que no desperdicien tanto tiempo en los ingratos. MI HUMILDE OPINIÓN. Sorry por el monólogo.

  7. Safari 525.13 Mac OS X 10.5.2

    Bueno, el detalle es que siempre han sido públicos los bugs de nipper y hola-tu.

    Y si tratan de venderle la consultoría les querrán pagar con una torta y un refresco,Por que como citan en unos de los comentarios, es tan fácil interceptar ese correo por parte del administrador. Pero me imagino que , deben tener su departamento de programación/administración.
    Por que en parte son errores de los programadores y otras del administrador por no prevenir eso, y alertar a su departamento de programacion de las cosas mal echas.

    Existiendo infinidad de herramientas para hacer tanto auditoria de los servidores.

    Ni pedo por lo que veo les interesa la lana 😀 y la seguridad la dejan en segundo plano.

  8. Internet Explorer 7.0 Windows Vista

    Roa yo dudo que les interese el dinero en primer lugar, porque por ahí ya me entere de gente que orgullosamente dice haber mandado 300, 000 mensajes multiplícalo por 3 y serian el millón de pesos, parece que si algo le sobra a hola-tu y nipper es billete.

  9. Mozilla 1.9b3 Windows XP

    Que tal, trabajo de forma temporal en nipper y podria tener el contacto necesario para mostrarle tus credenciales, mandame un correo con lo que desees que le muestre a mi contacto (o bien, algun tipo de captura o lo que pueda demostrar lo que comentas) y dependiendo de su reaccion, lo pasariamos a la gente de desarrollo de nipper.

    Saludos

  10. Internet Explorer 7.0 Windows XP

    tengo una pregunts. me pueden aconsejar de alguna pagina que recomienden donde tambien haya sms gratis. es q yo estaba en hola-tu y nipper y la vdd m decepcionaron

  11. Mozilla Firefox 3.0.1 Windows XP

    Lastdragon, hace poco vi en la TV que Nipper ya fue ‘liberado’ para empezar transacciones a través del celular, entre otros servicios.

    ¿Sabes si su seguridad ya mejoró o sigue igual … ?

    Saludos cordiales.

  12. Google Chrome 6.0.472.63 Windows Vista

    Bueno, sé que este post ya es algo viejo, pero hace estaba cagando y me acorde de la viborita fresa castrosa del comercial de Nipper, entonces por curiosidad ingrese a nipper.com.mx y ya no existe (intente entrar el lunes y hoy), por lo que pienso que esa empresa ya quebró.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *