martes, 16 de septiembre de 2014

SoundCloud nunca sabrá sus fallos

Hace más de 4 meses que hablé sobre los Juicy Files que SoundCloud tenían en su web, pues después de unos días viendo los fallos más básicos que podrían tener, me encuentro con que esos Juicy Files que en su día dije que tenían...HABÍAN DESAPARECIDO por arte de magia...¿o es que realmente me hicieron caso? En cualquier caso. GRACIAS por eliminar el problema y hacer caso con el tiempo.

Debo decir, que este post no va con la intención de dañar ni a SoundCloud ni a nadie. Esto es simplemente para ver si consigo meter presión como por lo que veo ya hice anteriormente y consigo que se eliminen unos "fallos no tan graves".

1-. 6 archivos PDF inyectados en Google. Sobre todo uno que aparece inyectado pero que han eliminado el contenido pero no la URL.

Figura 1: Documento inyectado en Google


Pero antes de continuar creo que hay que aclarar la diferencia entre Caché de Google y el Indice de Google. La diferencia es que la Caché es un almacenamiento de documentos que han sido visitados por el bot de Google, y el Indice  es como una base de datos en la que el bot guarda información necesaria para poder realizar las búsquedas . Así que una vez que he aclarado esto-que mucha gente no sabe- puedo seguir con lo que me encontré.

2-.Alertas de Script dentro de la web.

Figura 2:  Script Alert en SoundCloud


3-.La Prueba de la Viagra

Figura 3: Anuncios de Venta de Viagra en SoundCloud
4-. Login en ASP mostrando en la descripción el usuario y contraseña de uno de sus usuarios


Figura 4: Usuario y Contraseña de un usuario en la descripción
de uno de los resultados de Google
5-. Código fuente en PHP. Pero que han eliminado el contenido pero no la URL, yo he intentado recuperarla con Archive The WayBack Machine pero no lo he conseguido.

Figura 5: Resultados de extensiones en PHP

6-. INCs. Sólo uno pero ya es algo.

Figura 6: Extensión INC en Google

7-. Los mismos metadatos que hace más de 4 meses

Todo esto ha sido reportado, pero me contestaron -No SoundCloud pero tampoco voy a decir quién para mantener la confidencialidad-. que todo esto no lo veían un incidente de seguridad. Es cierto que todo esto no llegan a ser "fallos graves", pero igualmente son fallos, como por ejemplo en los fallos 1 y 5, que no aparece contenido pero sí la URL, por eso que dijese que si quieren eliminar el contenido, es porque quieren eliminarlo todo-URL incluída- pero que no lo hacen-supongo porque no saben-. O el del usuario que es para distribuir SPAM sí, pero ya encima hay SPAM que puede afectar a demás usuario, por eso lo que yo haría sería eliminar esa URL y eliminar el usuario.

Figura 7: Mi respuesta a "no se trata de un incidente de Seguridad"

Ésta fue mi respuesta a eso que me dijeron que lo que había reportado, no lo consideraban como "incidente de seguridad". Por eso, espero meter presión con este post para que se pueda eliminar lo reportado o que como dije "Desaparezca todo por antigüedad"

Figura 7: Espero que desaparezca por antigüedad
Y mi me respondieron a la Figura 7, con un "No vamos a hacer nada porque se sale de nuestro ámbito". Entiendo que no sea de su ámbito, por eso me he arriesgado y se lo he reportado directamente a SoundCloud.. Ya os iré contando que ocurre.

Hasta la Próxima Malvados, un HandShake amistoso!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...