(demasiado antiguo para responder)
Sobre www.tarjetabip.cl
Alexis
2007-01-03 12:25:43 UTC
Es solo un comentario, de como algo tan importante y con tanto dinero
de por medio se puede hacer tan mal.

la pagina
http://www.tarjetabip.cl/

esta desarrollado con jomla. :S (hace solo 1 dia, sacaron el favicon
por defecto de joomla)

http://www.tarjetabip.cl/administrator/

para consultar tu saldo (el cual no devuelve nada)
te envia a una direccion ip

http://200.71.221.13/PortalCAE-WAR-MODULE/ComercialesPortalServlet

el cual es un servidor web-tomcat, al cual ni siquiera se ha quitado la
instalacion por defecto

http://200.71.221.13/

es lo minimo que podrian haber hecho, ni siquiera se ha ocultado la
administracion

http://200.71.221.13/admin

lo curioso es q hay entidades bancarias, detras de ese sistema, y
presentan este chiste a la ciudadania,
mas encima no funciona, lo cual es lo peor de todo..


Obviamente con los datos anteriores no debe ser dificil encontrar
vulnerabilidad en el sistema,
y haci poner en riesgo a mas de 4 millones de usuarios q tendra este
sistema.


bueno, eso..



saludos.

Alexis Araya S.
Davor Buvinic
2007-01-03 22:59:31 UTC
Post by Alexis
Es solo un comentario, de como algo tan importante y con tanto dinero
de por medio se puede hacer tan mal.
[...]

Jajajaja, harto picante la instalación. Se ve la página de
administración de Tomcat.

Todas esas cosas que nombras son básicas al momento de levantar un sitio
(deben estar incluso en el README de los instaladores!) Vaya a saber uno
cuantos errores más tendrán, si uno toma lo anterior como ejemplo...

- Davor
RobertoCL
2007-01-04 00:13:04 UTC
Post by Alexis
Es solo un comentario, de como algo tan importante y con tanto dinero
de por medio se puede hacer tan mal.
la pagina
http://www.tarjetabip.cl/
esta desarrollado con jomla. :S (hace solo 1 dia, sacaron el favicon
por defecto de joomla)
http://www.tarjetabip.cl/administrator/
para consultar tu saldo (el cual no devuelve nada)
te envia a una direccion ip
http://200.71.221.13/PortalCAE-WAR-MODULE/ComercialesPortalServlet
el cual es un servidor web-tomcat, al cual ni siquiera se ha quitado la
instalacion por defecto
http://200.71.221.13/
es lo minimo que podrian haber hecho, ni siquiera se ha ocultado la
administracion
http://200.71.221.13/admin
lo curioso es q hay entidades bancarias, detras de ese sistema, y
presentan este chiste a la ciudadania,
mas encima no funciona, lo cual es lo peor de todo..
Obviamente con los datos anteriores no debe ser dificil encontrar
vulnerabilidad en el sistema,
y haci poner en riesgo a mas de 4 millones de usuarios q tendra este
sistema.
bueno, eso..
Sonda parece que es el responsable.
Igual no seria malo dar aviso al sysadmin, quien se ofrece? :D

--
RCL
PHOENIX
2007-01-04 13:34:13 UTC
Al parecer el trabajo lo efectuó una empresa llamada digitalmente.

De hecho al hacer ping al www.tarjetabip.cl arroja 216.72.175.40, y al
colocar dicha ip en internet explorer reenvia a la pagina de la empresa. Es
decir, incluso esta como subdominio. (harto poco responsables los del
transantiago)
Post by RobertoCL
Post by Alexis
Es solo un comentario, de como algo tan importante y con tanto dinero
de por medio se puede hacer tan mal.
la pagina
http://www.tarjetabip.cl/
esta desarrollado con jomla. :S (hace solo 1 dia, sacaron el favicon
por defecto de joomla)
http://www.tarjetabip.cl/administrator/
para consultar tu saldo (el cual no devuelve nada)
te envia a una direccion ip
http://200.71.221.13/PortalCAE-WAR-MODULE/ComercialesPortalServlet
el cual es un servidor web-tomcat, al cual ni siquiera se ha quitado la
instalacion por defecto
http://200.71.221.13/
es lo minimo que podrian haber hecho, ni siquiera se ha ocultado la
administracion
http://200.71.221.13/admin
lo curioso es q hay entidades bancarias, detras de ese sistema, y
presentan este chiste a la ciudadania,
mas encima no funciona, lo cual es lo peor de todo..
Obviamente con los datos anteriores no debe ser dificil encontrar
vulnerabilidad en el sistema,
y haci poner en riesgo a mas de 4 millones de usuarios q tendra este
sistema.
bueno, eso..
Sonda parece que es el responsable.
Igual no seria malo dar aviso al sysadmin, quien se ofrece? :D
--
RCL
Alexis
2007-01-04 15:49:08 UTC
Envie un Mail explicando lo mismo hace 3 dias, sin obtener respuesta.

en la pagina de sugerencias.

http://www.tarjetabip.cl/index.php?option=com_wrapper&Itemid=72

como era de esperar, no creo q alguien este viendo ese correo. o tal
vez
como todo lo demas, tpco funcione.


bueno, eso no +

saludos.

Alexis Araya S.
Post by PHOENIX
Al parecer el trabajo lo efectuó una empresa llamada digitalmente.
De hecho al hacer ping al www.tarjetabip.cl arroja 216.72.175.40, y al
colocar dicha ip en internet explorer reenvia a la pagina de la empresa. Es
decir, incluso esta como subdominio. (harto poco responsables los del
transantiago)
Post by RobertoCL
Post by Alexis
Es solo un comentario, de como algo tan importante y con tanto dinero
de por medio se puede hacer tan mal.
la pagina
http://www.tarjetabip.cl/
esta desarrollado con jomla. :S (hace solo 1 dia, sacaron el favicon
por defecto de joomla)
http://www.tarjetabip.cl/administrator/
para consultar tu saldo (el cual no devuelve nada)
te envia a una direccion ip
http://200.71.221.13/PortalCAE-WAR-MODULE/ComercialesPortalServlet
el cual es un servidor web-tomcat, al cual ni siquiera se ha quitado la
instalacion por defecto
http://200.71.221.13/
es lo minimo que podrian haber hecho, ni siquiera se ha ocultado la
administracion
http://200.71.221.13/admin
lo curioso es q hay entidades bancarias, detras de ese sistema, y
presentan este chiste a la ciudadania,
mas encima no funciona, lo cual es lo peor de todo..
Obviamente con los datos anteriores no debe ser dificil encontrar
vulnerabilidad en el sistema,
y haci poner en riesgo a mas de 4 millones de usuarios q tendra este
sistema.
bueno, eso..
Sonda parece que es el responsable.
Igual no seria malo dar aviso al sysadmin, quien se ofrece? :D
--
RCL
Eduardo K.
2007-01-05 03:07:56 UTC
Post by RobertoCL
Sonda parece que es el responsable.
Igual no seria malo dar aviso al sysadmin, quien se ofrece? :D
ya le avise...

en todo caso, el tomcat es de otro sitio. es un server que tiene muchos
dominios hosteados.
--
Eduardo K. |
http://www.carfun.cl | "World domination, now"
http://e.nn.cl | Linus Torvalds