BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

El panel de clientes de operadores secundarios de MásMóvil expone claves de acceso

1
lzgz99
7

Estaba navegando por el panel de Oceans y veo que expone credenciales de su servidor de envío de correos, entre otras cosas, y las guarda en el almacenamiento local del ordenador. Como es el mismo panel que usan también Netllar y Hits, he podido comprobar que sucede lo mismo en éstas.

Como podréis ver, los paneles exponen varios datos (los datos de acceso los he tapado, aunque como digo están públicos):

imagen

Por si fuera poco, también los sacan por la consola del navegador por si no te ha dado por inspeccionar en el almacenamiento (como ha sido mi caso, que me he dado cuenta por eso). A mi me parece un fallo bastante gordo y me hace desconfiar como cliente. Este tipo de fallos no pasarían ninguna auditoría de seguridad.

He observado también otras varias cosas que son menos evidentes y que no me voy a poner a comentar pero vamos, si hacen esto con sus propios datos, miedo me da con lo que hagan con los de los clientes (luego vienen las brechas de datos como la de Yoigo).

lhacc
3

[contenido retirado]

Paz sí

No se van a gastar ni un euro en arreglar nada hasta q no completen la fusión.

🗨️ 1
lhacc
1

[contenido retirado]

el-xalso

Quiero pensar que esos credenciales no son correctos… y que debe ser algún copia y pega que habrá hecho el desarrollador en algún momento y ahí se quedó.

Porque además, no entiendo cuál es el motivo de guardar los credenciales smtp en una cookie en el cliente, ¿para qué o con qué finalidad?

🗨️ 8
lhacc

[contenido retirado]

lzgz99

Por lo que veo en la primera visita a la web se hace una llamada al servidor que devuelve todos estos datos. Es decir, no es algo que se hayan olvidado, sino que intencionadamente estos datos se están mandando al lado cliente desde el servidor. Es algo que está hecho mal a propósito.

No quiero pensar mal, pero me atrevería a decir que quizá estén mandando los correos por SMTP desde el lado cliente (con los riesgos que esto supone).

🗨️ 6
lhacc

[contenido retirado]

🗨️ 2
rbetancor

El navegador puede abrir un websocket a donde le salga de la punta del cipote.

Puedes buscar en github, tienes frameworks para front-end con soporte de SMTP-SSL/TLS que se basan en WS, igual que hay clientes WebSIP o de cualquier otro protocolo.

🗨️ 1
lhacc
lhacc
rbetancor

Es algo que está hecho mal a propósito.

¿Porqué achacar a la malicia, lo que simplemente es estupidez/ignorancia?

La de código que habré auditado y me hacía pensar … "a este lo pilla mi profe de Programación II de la facultad y lo hace un hombre de un guantazo" … hay mucho, mucho "pufesionaaaa" del FrontEnd,Backend, FullStack o DevOps suelto … que ni siquiera se puede decir que sea por un problema relacionado con la falta de bases o que sean autodidactas … sino que directamente por las prisas de folladas que les meten o por pura ignorancia, hacen cada ñapa, que se queda uno ojiplático.

🗨️ 2
lzgz99

Cuando decía “a proposito” no me refería a que se hubiera hecho con malicia, quizá no me he expresado con las palabras adecuadas.

Me refería a que, respondiendo al compañero, no tenía pinta de que lo hubieran dejado ahí por accidente, sino que más bien la aplicación tenía pinta de haberla pensado para funcionar de esa manera (a proposito). Básicamente porque te puedes dejar algo por consola, pero hacer una llamada a una API (y que esa API devuelva estos datos), y guardarlos en el storage del navegador no es algo que se deje de forma accidental a subir a producción.

A eso me refería con “a proposito”, no a que nadie haya actuado con malicia ni con los conocimientos adecuados. Personalmente pienso que cagadas como esta no suelen ser culpa del programador final, sino de las empresas (o grandes consultoras) que contratan a profesionales con salarios bajos y poca experiencia (o incluso prácticas) y que les dejan a la aventura con un proyecto que ni siquiera revisa nadie.

Y bueno, que aunque seas un profesional con amplia experiencia y seas muy bueno en lo tuyo, todo el mundo puede dejarse algo o tener algún fallo, y para eso están los encargados de revisar y hacer auditorías (que muchas veces no existen en estas consultoras)

🗨️ 1
lhacc
lhacc
1
lhacc
1

[contenido retirado]