Sistema de Mensajeria de Movilnet (Venezuela) HACKEADO


Una amiga me pregunto que le pasaba a tun-tun que ya no mandaba mensajes de texto y que un amigo de ella le había mandado un mensaje desde la Internet, eso me puso a pensar un poco y me dije si eso ocurrió realmente aún debe estar habilitado el sistema de mensajería anterior al que se visualiza actualmente en la página, comencé a analizar como trabajaba el sistema y me encontré con que tenia predeterminado las entradas “mensaje” y “celular” como cadenas logintud 0, luego edite un código utilizando método POST a :





http://www.movilnet.com.ve/smsinternet/telefono.do

Funciono en ese momento supe que el sistema aún estaba habilitado pero camuflajeado, luego probé directamente con esta ruta:

http://www.movilnet.com.ve/smsinternet

Ahí estaba el enlace directo para el envío de mensajes, luego pensando un poco se me ocurrió la idea de probar por métodos tipo GET:

http://www.movilnet.com.ve/smsinternet/telefono.do?celular=XXX&mensaje=XXX&servicio=movilnet

El cual también funciono abriendo muchas posibilidades para el envío de "SPAM" vía SMS.

Hasta ese momento nada se veía fuera de lo común como para hacer un artículo puesto era algo muy simple a pesar de que se observaba claramente que se podría aprovechar la plataforma para hacer “publicidad” o bombardeos SMS.

Lo que realmente me pareció algo bastante delicado fue cuando logre enviando cadenas largas en la entrada ("mensaje") que llegaran al celular textos de otras personas, secuestrando así el destino de los mismos y con sus respectivos números de procedencia.

Aún me encuentro estudiando las posibilidades de realizar un filtrado para así obtener solo mensajería de números pre-establecidos y no de procedencia al azar.


By TRASH



Otras noticias de interés:

Vulnerabilidades en servidores Apple Darwin y QuickTime Streaming
@Stake ha publicado - en http://www.atstake.com/research/advisories/2003/a022403-1.txt - que los servidores de administración Apple Darwin y QuickTime Streaming se ven afectados por seis problemas de seguridad que pueden permitir a un atacante toma...
China muestra su primer superordenador
La empresa china Legend Group ha mostrado su primer superordenador, una máquina que se encuentra entre los veinticinco ordenadores más potentes del mundo, según especificaciones distribuidas por la compañía el viernes....
Solucionada vulnerabilidad que permitía desactivar el cortafuegos de Apache ModSecurity
Los desarrolladores del firewall de Apache ModSecurity han publicado una nueva actualización que soluciona una vulnerabilidad que permitía a un atacante desactivar el firewall....
Microsoft publicará cinco boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad, uno dedicado a su sistema operativo Windows, uno para Visual Studio, uno para Microsoft Wind...
Múltiples vulnerabilidades en PHP 4.4.x y 5.2.x
Se han descubierto múltiples vulnerabilidades en PHP de las cuales algunas tienen un impacto desconocido y otras podrían ser aprovechadas por un atacante para obtener acceso a información importante, manipular datos, eludir restricciones de ...
SEO para tu sitio web parte I
Cuando creamos o modificamos nuestro sitio web debemos tener presente algunos aspectos importantes que ayudarían a su posicionamiento en los buscadores más relevantes: Google, Bing, Yahoo. Aunque existen más buscadores estos son los principales y ...
Carta abierta a NVIDIA desde la comunidad GNU/Linux
Se ha publicado una carta abierta dirigida hacia NVIDIA con la intención de que nos hagan saber si van a hacer algún movimiento con respecto a sus drivers gráficos para GNU/Linux, junto con una petición para que colaboren con los desarrolladores ...
Denegación de servicio en visor HTML de Internet Explorer
Según reporta Secunia, Michal Zalewski ha descubierto una debilidad en Internet Explorer, la cual podría ser explotada por personas maliciosas para provocar una denegación de servicio (DoS)....
Firefox 3.1 alpha 2 ya disponible
Un nuevo hito en el desarrollo de la futura versión 3.1 del navegador Firefox. Se trata de la alpha 2, una versión en una fase bastante inicial de desarrollo pero que aporta muchísimas novedades,...
Geinimi - troyano para Android con capacidad para recibir órdenes
Recientemente se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con ciertas características similares a las encontradas en el malware asociado a botnets....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hackeado
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mensajeria
  • micros
  • mint
  • mit
  • movilnet
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sistema
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • venezuela
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra