Actualizado: 28-07-2015 Hace algo menos de un año, reporto esta vulnerabilidad a la empresa:
Remitir con relativa celeridad al departamento de desarrollo/informática.
Hola, he encontrado una vulnerabilidad en su página web (http://www.mapfre.com) que permite ejecutar código javascript.
---
Bypass Google Chrome Auditor: Sí
Web: http://www.mapfre.com
Vulnerabilidad: Reflected XSS
PoC (Proof of concept) - Prueba de concepto: OCULTADO POR AMENAZAS DE LA COMPAÑIA
Attack Vector - Vector de ataque: OCULTADO POR AMENAZAS DE LA COMPAÑIA
Descripción: Permite la ejecución de código javascript por parte del usuario que suele ser empleado para el robo de credenciales. Puede llegar a ser muy grave si se emplea con fines maliciosos.
Solución: Escapar correctamente los caracteres especiales '';!--"<XSS>=&{()}
Un saludo, espero su respuesta.
Un XSS sencillito, lo reporto igual.
Pasado un tiempo lo publico aquí.
Y recibo otro email:
Buenos días,
Desde el Mapfre CCG-CERT se ha detectado la siguiente publicación sobre una vulnerabilidad encontrada en una de nuestras webs:
https://gist.github.com/MiguelBel/6db4e7bd982f3ee9d3cf
Muchas gracias por su comunicación, la cual ya se encuentra solucionada. Rogamos suprima esta publicación y tenga a bien contactar con este departamento ante cualquier otro fallo de seguridad que pudiera encontrar relativo a nuestra compañía.
Nuestro equipo de respuesta se encuentra a su disposición ante cualquier duda o consulta que pudiera tener.
Agradeciendo sus gestiones nuevamente, reciba un cordial saludo.
A lo que contesto:
¿Por qué?
Un saludo.
Si ya está arreglado, que necesidad hay de quitar información. Han sido educados pero en cualquier caso, no quiero ocultar nada.
A lo que me contestan:
Buenas tardes,
Desde el Mapfre CCG-CERT se ha detectado la siguiente publicación, con contenido expuesto indebidamente, donde se observan datos para cometer actividad fraudulentas.
https://gist.github.com/MiguelBel/6db4e7bd982f3ee9d3cf
Por lo tanto, se solicita la eliminación de dicho contenido lo antes posible por favor .
Ante cualquier consulta, no duden en comunicarse con nuestro departamento.
Agradeciendo vuestras gestiones, reciban un cordial saludo.
Vale, ahora soy un delincuente que reporta la información "para cometer actividad fraudulentas". Vale. Perfecto. Ideal.
Hola. No amenacéis. He hecho una pregunta y la pregunta era clara, la repito: ¿Por qué?
Si el fallo ya está solucionado que problema hay con darle visibilidad para evitar que otros caigan en lo mismo.
Lo vuelvo a repetir: ¿Por qué?
"Seguridad por oscuridad no es seguridad"
Y me contestan:
Buenas noches,
Desde el Mapfre CCG-CERT nos dirigimos a usted para comunicarle una publicación realizada donde se expone una vulnerabilidad que afecta a la compañía de Mapfre.
La publicación de vulnerabilidades informáticas difundidas como esté caso, está recogido en el Código Penal, como una actividad ilícita que representa un delito contra la Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos (Artículo 197).
Por este motivo, se solicita la eliminación de dicho contenido. No es una amenaza, es eliminar un contenido que está legitimado legalmente.
Un saludo.
Muy bien. No hay problema. Quito los datos sensibles y que los siguientes que encuentren algo en sus sistemas se lo piensen antes de reportar nada.
Hola. Sois una gran compañía y yo no. He quitado los datos sensibles, habéis ganado, pero cuento mi experiencia con vosotros.
No os molestéis en decir tonterías de quitar los emails porque aquí no hay ni intimidad ni secreto profesional ni datos personales.
Un saludo.