API tools faq
paste
Advertisement
Guest User

la9cura

a guest
Jun 17th, 2013
1,323
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 7.06 KB | None | 0 0
raw download clone embed print report
  1. _ ___ _
  2. | | / _ \ | | /\
  3. | | __ _ | (_) | __| | ___ / \ _ __ ___ _ __
  4. | | / _` | \__, | / _` |/ _ \ / /\ \ | '_ \ / _ \| '_ \
  5. | |___| (_| | / / | (_| | __/ / ____ \| | | | (_) | | | |
  6. |______\__,_| /_/ \__,_|\___| /_/ \_|_| |_|\___/|_| |_|
  7.  
  8.  
  9.  
  10. .:/+/-```.....`` El 9 de enero de 2013 comunicamos a los administradores del portal
  11. `:ssyhdmNms//////:-`` de los técnicos de Hacienda GESTHA http://gestha.es/ que tenían una
  12. : +sosyhdmmNNmooooo+/-.` grave vulnerabilidad de descubría sus bases de datos, y que
  13. `/ :syhdmmmdmNNNhsoooo+/-.` permitia el acceso como root a phpMyAdmin.
  14. `/`smMhohMN+smMMMmo+++//-.`
  15. //:dsMMNNN+.:oods::---...` Les anlazamos un paste que demostraba tales hechos y unas
  16. yy ``---..``../h.```````` imágenes de acceso a los paneles de control.
  17. `sy ` ````....y/.`````.``
  18. `ss `.+.`.hmhsyyh+::::::-.` Transcurridos 5 meses desde aquella comunicación no publicitada, y
  19. .ys .-//+os+////:+s+++o+++/-.` comprobado que han reparado las vulnerabilidades detectadas (así
  20. :so-` .::-so+s--...:sy/++oo++/:-.` como la empresa que desarrolló la web, las suyas), damos publicidad
  21. /s/:`` `-///...--:oo+:::/oooo++/:.` a tan tremenda cagada técnica que se reproducía en unos cuantos
  22. `os`./``````-/.:::-../+-...+ooooooo+/-.` desarrollos mas de la empresa http://www.jln.es/
  23. `.-// ... `/:.`.-.-/o/`-+yoyoooooo+/-`
  24. `-///`.:. `.``.` ...:+sso/yhsyy+oooooo+/-` ¡¡Bonita portada, por cierto!!, muy currada.
  25. `.::/oo+y+:` ..````--`+yddhmNmdhossoooooo+:.`
  26. ``-:/oshyos`.--`..-/.sh+ohyyyshyyysooooo+/:.` Si hacemos público este "trabajo" ahora es como prueba de qué,
  27. `-....``/so+/o:-::.``.y/ss+:oy+ysosyyhhooooo+/-` aunue muchos piensen lo contrario, no somos unos gamberros que
  28. `-:.`` `.ddyo-+oy++o++/dsyyyoyd/yhhyyhyyooooo+:.` disfrutan "juaqueando" webs; no, señores. No es la primera vez
  29. -:.```.`:dmds//oyhdhhydNdsddhdsshdddddyo+++//:.` ni será la última que avisamos y prevenimos de los errores que
  30. `.--:+/hNyos+++dysyyydNNdNmNmNmdhhhyso+/:-..`` dejan al descubierto datos muy sensibles de ciudadanos, y
  31. `:++sNNh+y+/oyydmhdNNmNNMNysyssooooo+/-.` algunos de ellos nos persiguen con sus flamantes chapas y
  32. :hoo+++ydydmmmmdhdMMNy+/shhyooooo+:.` uniformes, conste ¿eh, chavales?.
  33. /o+-:/+dhddhmNys++MMoooydhdhooooo+/-`
  34. +ohhsdosddhhmmdhdmNMohysysmyooooo+/-` Reconocemos que a estos chicos y chicas de Hacienda les pedimos
  35. /odmss/:://oyyoommmNmdyyyhNsoooo+/:.` algo a cambio: una nota pública de reconocimiento del error y la
  36. +hhy/+/////syy+:hNdmNdhmNmyoooo+/:.` garantía de subsanarlo.
  37. sd/`/+//+ohdsy::yNdssydNNsooooo+:-`
  38. hN/.s/:/smNh+/:/sdh+/shmmoooooo+:.` La segunda parte la han cumplido y, como era de esperar,
  39. `ym:.o::ymmhosyo/yds//sdmmyooooo+:.` seguramente por inmerecido y por no dar publicidad, ni enseñar
  40. `.. -o:/hmdyyMd++hs/:+ydmmyooooo+/-` sus vergüenzas, pues han pasado de reconocer nada.
  41. `o+/shhyNNNoss+/+ohdNNyooooo+/-`
  42. ++++yydmmMy+/+osyhmNmdooooo+/-` Deberían saber que el #LULZ nos puede y que siempre nos gusta
  43. .++ohdmdmMh+//+oyyhmMdooooo+/-` recibir unas risas a cambio de nuestras auditorías gratuitas.
  44. +oydhdmNNh+++osyhdmNh+oooo+/-` Esperamos que los pentesters elegidos para cerrar los agujeros
  45. -hdmmNmmMy+ooyyddmNMm+oooo+/-` tengan impoluto su sombrero. El nuestro, además de oxidado, es gris
  46. +dhddhdmM+ohdyoydNNNd+oooo+/-` y de acero.
  47. `mmhyhdNN-+hyyyhmmNNh+oooo+/-`
  48. .mhhhhhNM/:ohhmddmmmy+oooo+/-`
  49. ohysdmNMd:ysydhyhmMs+oooo+:.` Naturalmente, ni el enlace al paste con las tablas de la BD, ni
  50. shhhdmNh.+syddmNMN/++ooo+:.` otros datos sensibles se conservan, y hemos echado un poco
  51. .//+sdNs`-o++shhmy-/+oo+/-` de tinta en otros xDDD. ¡Va!, no os enfadéis.
  52. ---+hNh`.-.-/osm:-:+oo+:.`
  53. `::+hNy `---oso+..-/++/-`
  54. `:+oymy `:-///h/..:/++/-` We are Anonymous, Legion, One.
  55. `-/osmN`.:.-:+h+--/+o+/-`
  56. +/:/smM/:..-:+oy/:/+oo+:.` Expect us.
  57. `yhhdmMM--+/-.-ody:/+oo+/-`
  58. :hddMMMMM+:dhhddNMN+:/+oo+:-` Inglourious /b/asterds
  59. shhmNMMh/::/shymddmNNs:/++++:-`
  60. //ssyo- `.....omdhymmN:-:///-.`
  61. `/+++:. ``...``
  62. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  63.  
  64. El email enviado http://imageshack.us/a/img853/797/4kvd.jpg
  65.  
  66. Subject: Atención administradores del portal de Getsha..
  67. From: [email protected]
  68. Date: Tue, January 29, 2013 6:00 pm
  69. To: [email protected] (more)
  70. Priority: Normal
  71. Options: View Full Header | View Printable Version | Download this as a file
  72.  
  73. Hola, administrador/es del portal "Gestha".
  74.  
  75. Somos la 9 de anonymous.
  76.  
  77. Suponemos que por un descuido, o una falta de profesionalidad en los
  78. servicios contratados por ustedes, más bién lo segundo, han dejado
  79. expuestos datos, de extremada sensibilidad, de todos sus afiliados.
  80.  
  81. No es nuestra intención vulnerarlos, ni mucho menos publicitarlos; tampoco
  82. aprovecharemos de esa debilidad técnica en sus sistemas para buscar
  83. notoriedad o fama pública. Naturalmente guardamos screens y pruebas que
  84. demuestran lo que les reportamos.
  85.  
  86. Les avisamos para evitar que datos personales de sus afiliados puedan ser
  87. aprovechados de manera ilícita. Uds. son responsables y deben responder
  88. ante ellos. No exigimos mas que una nota pública de reconocimiento del
  89. error y la garantía de subsanarlo.
  90.  
  91. No es preciso que nos citen, no buscamos notoriedad. En el siguiente
  92. enlace tienen una prueba de la vulnerabilidad mediante SQLI
  93. http://www.anonpaste.me/anonpaste2/index.php?0aa183c000e85eaa#Q8dbtFnEc4qniSzC8juzwqdwcfkAjwH+bK6n3d+Bx5I=
  94.  
  95. Sean cautos, adopten precauciones.
  96.  
  97. No nos busquen, les va a dar igual.
  98.  
  99. La 9 de Anonymous
  100. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  101. Imágenes de los paneles:
  102. http://imageshack.us/a/img441/752/inxv.jpg
  103. http://imageshack.us/a/img854/9991/8zp0.jpg
  104. http://imageshack.us/a/img546/4048/kcmp.jpg
  105. http://imageshack.us/a/img18/2177/2ew7.jpg
  106.  
  107. A otros despistados: Hay mas, hemos avisado, y no habéis respondido, ¡MALEDUCADOS! LOL
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!