Hola desde el otro lado. Entrevista con un cazarrecompensas de bichos.
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
A principios de este mes, el cazarrecompensas belga Inti De Ceukelaire desveló un creativo hackeo que afecta a cientos de empresas. El truco consiste en explotar una lógica lógica empresarial en los populares helpdesk y issue trackers para obtener acceso a intranets, cuentas de redes sociales o, más a menudo, equipos de Yammer y Slack. Puedes leer los detalles en la entrada del blog de Inti. Me impresionó la creatividad necesaria para idear esta hazaña y sentí curiosidad por el proceso implicado, así que decidí hacerle algunas preguntas a Inti, y comparto sus respuestas con vosotros.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y me paso el día rompiendo cosas.
La semana pasada leí la entrada de tu blog sobre lo que desde entonces has llamado "Truco del billete" y me impresionó tu creatividad para encontrar esta hazaña. Cómo se te ocurrió la idea de probar este truco?
Participo en programas de bug bounty, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, hay que seguir buscando cosas que otros no hayan encontrado ya. Pensé que Slack era un vector de ataque interesante porque a menudo contiene información sensible y a veces sólo requiere un correo electrónico válido de la empresa. Así que cogí una cerveza, me tumbé en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente se me ocurrió una idea descabellada, y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque sólo funcione unas pocas veces, da sus frutos. ;-)
Como alguien que suele trabajar en el lado opuesto, tratando de asegurar el código, a menudo me pregunto cómo es una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientas en una oficina?
Durante el día trabajo como codificador creativo digital en una emisora de radio llamada Studio Brussel. Se trata de algo de programación y algo de redes sociales, pero no de seguridad. Intento no mezclar mi afición con mi trabajo profesional. Tengo miedo de perder mi creatividad si lo hago. No pirateo tan a menudo: máximo unas horas a la semana. Puede ser en la mesa, en el sofá o en mi cama: lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tiene una hoja de trucos? ¿Tienes algunas entradas para probar si hay suficiente validación de entrada o escape de salida?
Soy muy caótico, así que no tengo una lista de comprobación, sólo utilizo mi instinto. La mayor parte de las veces empiezo con algo llamado reconocimiento: hacer una lista de toda la información interesante del objetivo, subdominios, direcciones IP, todo lo que pueda encontrar. Intento ver el panorama general y entender la lógica del negocio antes de empezar a hackear. Si sólo buscas las vulnerabilidades estándar, de libro de texto, te perderás muchos de los fallos más inteligentes y complejos. Cuando se trata de la entrada, intento cubrir el mayor número posible de vulnerabilidades en una carga útil. Siempre que descubro algo interesante, juego con él durante un tiempo y le meto un montón de tonterías, sólo para ver cómo reacciona el sistema. Los mejores bugs suelen encontrarse en las partes más remotas de una aplicación web, así que intento indagar todo lo posible.
¿Qué crees que hace a un buen pentester? ¿Tienes algún truco en la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar por los pentesters en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de la gente ni siquiera considera buscar vulnerabilidades de seguridad en Google porque tienen los mejores ingenieros del mundo, sin embargo, pagan millones de recompensas por errores cada año. Llevo más de dos años trabajando en un objetivo y ahora estoy empezando a llegar a los bugs realmente interesantes. Lleva un tiempo. El problema con el pentesting normal es que los probadores son recompensados con una cantidad determinada, tanto si encuentran vulnerabilidades críticas como si no. Creo que aún quedan muchos bugs en Facebook, sólo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando se dio cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensó?
Tenía sentimientos encontrados. Me sentí asombrado e inmediatamente pensé en las recompensas por errores que podría cobrar con ello, pero por otro lado me sorprendió que esto fuera posible. Cuando encuentras algo así, de repente posees un montón de información valiosa en la que estarían muy interesadas las partes maliciosas. El proceso de divulgación es duro: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se utilice de forma abusiva.
¿Por qué ha decidido publicar la información antes de cobrar más recompensas?
Hacer lo correcto es más importante que cobrar recompensas. Creo que he tenido mi parte justa y ahora quiero devolverla a la comunidad. Además, he estado informando a las empresas sobre este asunto durante meses, para que cada vez más gente lo supiera. No quería que se filtrara o que alguien con malas intenciones abusara de ello.
¿Qué le parecieron las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas no les importó mucho, pero al fin y al cabo, ellas se lo pierden. Ser rechazado como investigador de seguridad es parte del juego. Al menos, no recibí ninguna demanda. Hace 10 años, probablemente habría sido así.
Una última pregunta, en reddit he leído que habéis reclamado 8.000 dólares en recompensas por bugs, ¿tenéis algún plan chulo para gastar este dinero?
En total, obtuve más de 20.000 dólares de este bicho. Más de la mitad se destina a impuestos. El resto lo gasto en cosas normales como viajes, salir a cenar, ... nada descabellado. :-)
Muchas gracias por su tiempo y buena suerte en la caza en el futuro.
El fallo sigue ahí. No es algo que se pueda arreglar de inmediato. En los últimos meses, me he puesto en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para conseguir que se arregle su configuración.
Índice
Investigador de seguridad de aplicaciones - Ingeniero de I+D - Candidato a doctor
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
