Hola desde el otro lado. Entrevista con un cazador de bichos.
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
A principios de este mes, un cazarecompensas de bichos belgas, Inti De Ceukelaire reveló un truco creativo que afecta a cientos de empresas. El truco consiste en explotar lo defectuoso lógica empresarial en los populares servicios de asistencia y rastreadores de problemas para acceder a intranets, cuentas de redes sociales o, con mayor frecuencia, a los equipos de Yammer y Slack. Puedes obtener más información en Entrada de blog propia de Inti. Me impresionó la creatividad necesaria para crear esta hazaña y sentí curiosidad por conocer el proceso que implicaba, así que decidí hacerle algunas preguntas a Inti y comparto sus respuestas con ustedes.
Hola Inti, ¿puedes presentarte brevemente a nuestros lectores?
Soy Inti, cazarrecompensas de insectos en Intigriti y Hackerone. Vivo en Aalst (Bélgica) y paso mis días rompiendo cosas.
La semana pasada leí tu entrada de blog sobre lo que desde entonces llamaste «Ticket Trick» y me impresionó tu creatividad para encontrar este exploit. ¿Cómo se te ocurrió la idea de probar este truco?
Participo en programas de recompensas por errores, lo que significa que ciertos sitios web ofrecen dinero a los investigadores de seguridad responsables que descubren vulnerabilidades únicas. Como hay mucha competencia, tienes que seguir buscando cosas que otros no hayan encontrado todavía. Pensé que Slack era un vector de ataque interesante porque, a menudo, contiene información confidencial y, a veces, solo requiere un correo electrónico corporativo válido. Así que me tomé una cerveza, me acosté en el sofá y empecé a pensar en todos los posibles vectores de ataque. De repente tuve una idea descabellada y resultó que funcionó. Por lo general, pruebo todo lo que se me ocurre. Aunque eso solo funciona unas pocas veces, vale la pena. ;-)
Como alguien que normalmente trabaja en el lado opuesto, intentando proteger el código, a menudo me pregunto qué aspecto tendrá una sesión de pentesting. ¿Dónde trabajas? ¿Es algo que también haces en tu tiempo libre desde el sofá? ¿O te sientes en una oficina?
Durante el día trabajo como programador creativo digital en una emisora de radio llamada Studio Brussel. Implica algo de programación y algunas redes sociales, pero no hay seguridad. Intento no mezclar mi afición con mi trabajo profesional. Me temo que perdería mi creatividad si lo hiciera. No pirateo tan a menudo: un máximo de unas pocas horas a la semana. Puede estar en la mesa, en el sofá o en mi cama, lo que sea cómodo en ese momento.
¿Cómo se empieza? ¿Tienes una hoja de trucos? ¿Tienes algunas entradas para comprobar si hay suficiente validación de entradas o escapes de salida?
Soy muy caótico, así que no tengo una lista de verificación, solo uso mi instinto. La mayoría de las veces empiezo con algo llamado reconocimiento: enumerar toda la información interesante sobre los objetivos, los subdominios, las direcciones IP, todo lo que puedo encontrar. Intento ver el panorama general y entender la lógica empresarial incluso antes de empezar a hackear. Si te centras únicamente en las vulnerabilidades habituales, te perderás muchos de los defectos más ingeniosos y complejos. En lo que respecta a la entrada, intento cubrir tantas vulnerabilidades como sea posible en una sola carga útil. Siempre que descubro algo interesante, juego un rato con ello y le pongo un montón de tonterías, solo para ver cómo reacciona el sistema ante ello. Los mejores errores suelen encontrarse en las partes más remotas de una aplicación web, así que intento profundizar lo más que puedo.
¿Qué crees que hace que un pentester sea bueno? ¿Tienes algún truco bajo la manga que puedas compartir con nosotros?
No soy un pentester, así que no puedo hablar en nombre de los pentestres en general, pero creo que la motivación y la persistencia son los activos más importantes. La mayoría de las personas ni siquiera piensan en buscar vulnerabilidades de seguridad en Google porque tienen a los mejores ingenieros del mundo y, sin embargo, pagan millones de recompensas por errores cada año. Llevo trabajando en un objetivo desde hace más de 2 años y ahora empiezo a descubrir los errores más interesantes. Lleva un tiempo. El problema de las pruebas previas normales es que los evaluadores reciben una cantidad fija, independientemente de que encuentren vulnerabilidades críticas o no. Creo que todavía quedan muchos errores en Facebook, solo hace falta alguien que esté dispuesto a profundizar lo suficiente.
Cuando te diste cuenta de la magnitud del Ticket Trick, ¿qué fue lo primero que pensaste?
Tenía sentimientos encontrados. Me sorprendió e inmediatamente pensé en las recompensas por errores que podría conseguir con él, pero por otro lado me sorprendió que fuera posible. Cuando te encuentras con algo así, de repente te quedas con un montón de información valiosa que podría interesar a los malintencionados. El proceso de divulgación es difícil: hay que informar al mayor número posible de empresas afectadas, pero, por otro lado, hay que asegurarse de que la información no se filtre ni se abuse de ella.
¿Por qué decidiste dar a conocer la información antes de conseguir más recompensas?
Hacerlo correctamente es más importante que recolectar recompensas. Creo que he tenido lo que me corresponde y ahora quiero contribuir a la comunidad. Además, llevo meses informando a las empresas sobre este tema, por lo que cada vez más personas lo sabían. No quería que alguien con malas intenciones lo filtrara o abusara de él.
¿Qué opina de las respuestas de las empresas afectadas?
La mayoría de las respuestas fueron satisfactorias. A algunas empresas realmente no les importaba, pero al final del día, es su pérdida. Ser rechazado como investigador de seguridad es parte del juego. Al menos no recibí ninguna demanda. Hace 10 años, probablemente ese hubiera sido el caso.
Una última pregunta, en Reddit leí que has reclamado 8.000$ en recompensas por errores, ¿tienes planes interesantes de gastar este dinero?
En total, obtuve más de 20 000 dólares por este error. Más de la mitad se destina a impuestos. El resto lo dedico a cosas normales como viajes, salir a cenar,... nada descabellado. :-)
¡Muchas gracias por tu tiempo y buena suerte cazando en el futuro!
El error sigue ahí fuera. No es algo que se pueda solucionar de inmediato. Durante los últimos meses, me puse en contacto con docenas de empresas y proveedores afectados como parte de sus programas de recompensas por errores para corregir su configuración.
Inhaltsverzeichnis
Anwendungssicherheitsforscher - F&E-Ingenieur - PhD-Kandidat
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.