El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Información sensible en el source html de Movistar Cloud

mayo 19, 2011 /
Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Información sensible en el source html de Movistar Cloud" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.


Movistar Cloud es un servicio de “disco virtual”, que permite a sus usuarios almacenar información “en la nube” para poder acceder a ellos desde cualquier lugar, algo asi como Dropbox.

Si accedemos al sitio y vemos el codigo fuente, podemos ver que hay un tag que está comentado, corresponde a un link hacia la URL de desarrollo de este sistema

Claramente corresponde a una url de desarrollo, donde tambien podemos ver que poniendo “~usuario” tambien podriamos acceder a otros desarrollos. Si navegamos hacia esa URL nos damos cuenta que el servidor se encuentra totalmente desprotegido y es posible acceder información sensible, podemos acceder a versiones anteriores y veresiones de prueba de este sistema.

No solo encontramos versiones de prueba y antiguas de Movistar Cloud, sino que tambien desarrollos de otros sistemas que hace esa empresa.

Movistar, siendo una empresa tan grande y ofreciendo servicios “en la nube“, donde los usuarios confian la seguridad sus archivos, no debería permitirse este tipo de cosas.

EDITADO: Un par de horas despues de haber publicado este post, se han contactado conmigo para informarme que el bug ha sido corregido y que el acceso al servidor de desarrollo ya se encuentra limitado.

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Información sensible en el source html de Movistar Cloud" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Categorías: Hacking, Seguridad

Etiquetas: , , , , ,

« Arbitrary URL Redirection y XSS en sitio web del S.I.I Joomla! Password Cracker »

3 comentarios

  1. Nano

    mayo 19, 2011 a las 10:55 am

    huajajajaja. Que ridicula la huea. Los de movistar leeran este post?

  2. Andrés Arriagada

    mayo 19, 2011 a las 10:58 am

    Increíble.

  3. Zerial (Autor del artículo)

    mayo 19, 2011 a las 12:51 pm

    Nano: Al parecer si, pues ya han corregido el bug y han limitado el acceso al servidor de desarrollo.

Los comentarios están cerrados.

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑