NIC Chile lanzó una nueva versión de su sitio web. Entre las mejoras está la opción de crearse una cuenta y administrar desde esa cuenta los dominios que se van registrando.
Luego de un simple y rapido analisis, pude detectar que el sitio web no cumple con los estandares minimos de seguridad, permitiendo a usuarios modificar información de terceros.
La vulnerabilidad afecta al plugin WP Banners Lite, tiene más de 16 mil descargas y está bien valorado por los usuarios. Segun una búsqueda rápida, el plugin está siendo usado por lo menos en 200 sitios. Dentro de los afectados encontramos a un banco, sitios de noticias y al menos 8 sitios web del gobierno de Ecuador.
Intenté reportar la vulnerabilidad al desarrollador del plugin mediante el link de contacto de su sitio web, pero solo recibí la respuesta automatica de wordpress que acusaba recibo del mensaje de contacto y que se contactaría conmigo lo antes posible, pero eso nunca pasó.
En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.
En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:
- Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
- El Servicio nunca solicitará respuesta a los correos electrónicos.
- Nunca se solicitará datos personales, rut ni su clave secreta.
- Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
- Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
- Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
- Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
- No permita que otros vean su clave secreta.
- No ocupe la misma clave del SII para otros sitios en Internet.
El sistema en línea del Servicio de Impuestos Internos estuvo bajo mantención durante la noche redireccionando a todos los usuarios a https://www.sii.cl/pagina/actualizada/suspension/hpi_suspension.htm. El problema es que el mensaje no se desplegaba al momento de ingresar al sitio, sino que luego de iniciar la sesión o más bien, luego de enviar el formulario de inicio de sesión o de intentar ingresar mediante certificado.
VTR es un proveedor de servicios de telefonía, internet y televisión, que desde hace un tiempo está instalando en los domicilios el famoso modem Arris WTM652, como el de la foto de a continuación
Como todos los routers o modem, este dispositivo tiene varias opciones de configuración ya sea para la red cableada como al wireless. Entre las opciones está reiniciar el router, volver a los valores por defecto, modificar la configuración de la red WiFi pudiendo incluso dejarlo sin servicio.
Si el acceso a la configuración de este dispositivo estuviese correctamente configurada y solo permitiera ingresar desde una red privada, no habría ningun problema, pero no es así.
Prey es una herramienta que permite el rastreo de computadores y dispositivos móviles, pensado para encontrar tu portátil, tablet o teléfono móvil cuando se te pierde o te lo roban.
Basicamente, y como todo software o herramienta de rastreo, lo que hace es enviar información a un servidor centralizado con la ubicación y otros datos que te pueden ayudar a identificar dónde está tu dispositivo. Lo que me llamó la atención fue querer conocer cómo envia la información y cómo funciona la “api” de comunicación, por lo que me lo descargué y comencé a analizar el código.
La versión analizada es la 0.5.9 (md5: 1ff6cb6bb0de36415fde3382e72a8a6d), pero imagino que la información que voy a exponer afecta a todas las versiones anteriores.
© 2024 El rincón de Zerial
Tema por Anders Norén — Subir ↑
Comentarios recientes