Hola desde el otro lado. Entrevista con un cazarrecompensas de bichos.
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Índice
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de la formación sobre código seguro
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
Recursos para empezar
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.