Hola desde el otro lado. Entrevista con un cazarrecompensas de bichos.
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Índice
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Vibe Coding: Guía práctica para actualizar su estrategia AppSec para la IA
Vea el vídeo a la carta para aprender a capacitar a los administradores de AppSec para que se conviertan en facilitadores de IA, en lugar de bloqueadores, mediante un enfoque práctico que da prioridad a la formación. Le mostraremos cómo aprovechar Secure Code Warrior (SCW) para actualizar estratégicamente su estrategia de AppSec para la era de los asistentes de codificación de IA.
.png)
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Recursos para empezar
Serie de vídeos sobre seguridad AI/LLM: Todos los episodios, actualizados semanalmente
Su guía todo en uno para nuestra serie de vídeos de seguridad AI/LLM de 12 semanas. Vea todos los episodios, aprenda conceptos clave de seguridad de IA y siga la serie semanalmente.
SCW lanza una serie de vídeos gratuitos sobre seguridad AI/LLM para desarrolladores
Presentamos nuestra serie de vídeos gratuitos sobre seguridad de IA/LLM de 12 semanas de duración. Conozca los riesgos fundamentales de la codificación asistida por IA y cómo crear aplicaciones más seguras.
.avif)
Más de 10.000 actividades de aprendizaje sobre código seguro: Una década de gestión de riesgos para desarrolladores
Más de 10 000 actividades de aprendizaje de código seguro y una década ayudando a los desarrolladores a reducir riesgos, mejorar la calidad del código y abordar con confianza el desarrollo asistido por IA.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
