{"id":244,"date":"2008-03-29T23:17:41","date_gmt":"2008-03-30T05:17:41","guid":{"rendered":"http:\/\/www.lastdragon.net\/?p=244"},"modified":"2008-03-29T23:29:28","modified_gmt":"2008-03-30T05:29:28","slug":"que-dificil-es-contactar-al-staff-de-hola-tu","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=244","title":{"rendered":"Que dificil es contactar al staff de Hola-Tu"},"content":{"rendered":"

Es interesante como el staff de la comunidad de Hola-TU y nipper son tan descuidados y a estos les importa nada su sitio, ni la informaci\u00f3n de los usuarios registrados en dichos portales.<\/p>\n

Las primeras vulnerabilidades por gente que \u201cconozco\u201d (Realmente, solo lo he conocido por Messenger) en internet, fueron hechas por Her0, se que el probo con un SMS, sin embargo le dije que no lo hicira mas y acordamos no publicar nada al respecto mucho menos explotar en ninguna forma de beneficio dicho bug, as\u00ed como ponernos en contacto con Hola-Tu para ofrecerles la consultor\u00eda, Supongo que en alg\u00fan momento Hola-Tu se dio cuenta, por que \u201cparcharon\u201d la vulnerabilidad, no quiero ser irrespetuoso, pero quien la parcho, fue un novato, no me tomo ni 5 minutos encontrar una nueva, por que el c\u00f3digo, no es nada seguro, aun con el conocimiento del nuevo bug como la primera vez hero y un servidor decidimos no publicar nada y mucho menos dejar que se explote, al menos de nuestra parte dicho bug y de nueva cuenta se intento poner en contacto con nipper y hola-tu.<\/p>\n

Desde antes de Semana Santa e intentado ponerme en contactos con ellos, por medio de Cristian Castillo, el cual me respondi\u00f3 lo siguiente y ha sido la \u00fanica respuesta que recib\u00ed del asunto.<\/p>\n

David que tal? <\/p>\n

Ya no estoy trabajando en HT o nipper, pero me encargo de enviar el correo a las personas correspondientes. Muchas gracias por seguir al tanto. <\/p>\n

Saludos, Cristian <\/p>\n

On Mar 15, 2008, at 12:00 PM, David Rivero wrote:<\/p><\/blockquote>\n

Al no obtener ninguna respuesta m\u00e1s de Cristian, fui a la zona de contactos de hola-tu, donde le envi\u00e9 un mensaje al \u201cdirector\u201d seg\u00fan cita el portal, avis\u00e1ndole de serias vulnerabilidades.<\/p>\n

Poni\u00e9ndome a sus \u00f3rdenes y solicitando un permiso para hacer la demostraci\u00f3n con una prueba de concepto, al d\u00eda de hoy. Ni siquiera me han respondido para decir. No David, Gracias.<\/p>\n

Las vulnerabilidades son serias, desde poder enviar SMS hasta hacer un vaciado de la DB obteniendo los datos de cada uno de los usuarios e incluso extracci\u00f3n de c\u00f3digo de los sitios ambos escritos en PHP. Ojo aunque me gustar\u00eda decirles, por favor, no me pregunten c\u00f3mo realizar las vulnerabilidades, ya que publicar esa informaci\u00f3n directamente en l\u00ednea, ser\u00eda tanto equivalente a dejar que cualquiera lea la informaci\u00f3n privada de cientos de usuarios de hola-tu.<\/p>\n

Sin embargo, dichas vulnerabilidades ya son explotadas en internet, incluso circula parte del c\u00f3digo fuente de Hola \u2013 Tu ya por ah\u00ed disponible para que otras personas lo puedan estudiar y encontrar las vulnerabilidades por cuenta propia.<\/p>\n

Espero que Hola-Tu de alguna forma se entere de esto, ya que pienso que ni revisan sus email ni tampoco le llega la informaci\u00f3n al \u201cdirector\u201d desde la secci\u00f3n de contacto en la p\u00e1gina web, por que pronto podr\u00eda llegar alguien que encuentre estas mismas vulnerabilidades y no sea tan \u00e9tico, dejando desprotegido a los usuarios de hola tu al robo de informaci\u00f3n.<\/p>\n

Esto es parte de lo que ya circula en algunos grupos privados de hackers, no publicare todos los archivos ni siquiera alguno completo, la intenci\u00f3n es que la gente de Hola-Tu vea lo verdaderamente critico de la situaci\u00f3n, no asi darle armas a los lamers y delincuentes para el robo de informaci\u00f3n.<\/p>\n

<?php
\nfunction conectar_servidor_base_datos ($servidor, $usuario,
\n$contrasena) {
\n    global $mostrar_errores;<\/p>\n

    if ($enlace = @ mysql_connect ($servidor, $usuario,
\n$contrasena))
\n        return $enlace;
\n    else
\n        {
\n        \/\/ Si debemos mostrar errores
\n        if ($mostrar_errores==FALSE)
\nOtro archivo<\/p>\n

<?php
\n\/************************************************************************************************\/
\n\/\/ Variables para el servidor de datos
\n$servidor_bd = ‘localhost’;
\n$usuario_bd = ‘holatu****;
\n$contrasena_bd = ‘****’;<\/p>\n

\/\/ Variables de nombres para las bases de datos.
\n$bd_sistema = ‘m**********DB’;<\/p>\n

$tb_amigos = $bd_sistema.’.holatu_amigos’;
\n$tb_accesos = $bd_sistema.’.acceso’;
\n$tb_avisos = $bd_sistema.’.holatu_avisos’;
\n$tb_ciudades = $bd_sistema.’.ciudades’;
\n$tb_estados = $bd_sistema.’.estados’;<\/p>\n

Supongo que con estos peque\u00f1os fragmentos el staff de hola-tu podr\u00e1 vislumbrar lo critico de la situaci\u00f3n en el sitio.<\/p>\n

La forma de contactarnos, al menos a m\u00ed, esta informaci\u00f3n est\u00e1 disponible en mi blog en la secci\u00f3n de cont\u00e1ctame.<\/p>\n

Quedando a sus \u00f3rdenes, sus servidores, Her0 y David (Last Dragon) Rivero<\/p>\n","protected":false},"excerpt":{"rendered":"

Es interesante como el staff de la comunidad de Hola-TU y nipper son tan descuidados y a estos les importa nada su sitio, ni la informaci\u00f3n de los usuarios registrados en dichos portales. Las primeras vulnerabilidades por gente que \u201cconozco\u201d (Realmente, solo lo he conocido por Messenger) en internet, fueron hechas por Her0, se que…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-244","post","type-post","status-publish","format-standard","hentry","category-hackers-and-tools"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=244"}],"version-history":[{"count":0,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/244\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}