De bugs, Tuenti y reconocimientos
1 Septiembre 2009 4 Comentario(s) Comentar Trackback URINunca me he considerado un egocéntrico (aunque algunos piensen que lo soy y mucho), pero una cosa es el ego y otra cosa es que te guste que te reconozcan las cosas y no ver como los méritos se los lleva sólo otro.
Hace cosa de casi 4 meses descubrí junto a otra persona en Tuenti, la red social mas popular de España, una vulnerabilidad de seguridad, lo que se llama comúnmente bug. El bug en un principio lo encontré yo haciendo pruebas por puro aburrimiento, inmediatamente le comenté el descubrimiento a Rubén Díaz Alonso (a.k.a. outime).
En un principio no era posible hacer gran cosa salvo insertar HTML, pero ya era el principio de un XSS. Como yo no me encontraba con ganas (creo recordar que estaba enfermo esos días), no puse mucho interés y dejé a outime liado con ello, hasta que lo consiguió. Consiguió insertar JavaScript y ya eso pasaba a ser más serio.
Entonces entre los dos escribimos un PoC que no hacía gran cosa, simplemente cambiaba el estado del usuario al que se le enviara, para ello bastaba con dejar un comentario en su tablón y esperar que entrara a él. Eso evidentemente no era nada peligroso, pero como podíamos ejecutar código JavaScript podíamos hacer lo que quisiéramos. Voy a poner un ejemplo de lo que se se podría llegar a haber hecho gracias al bug para que veáis la peligrosidad que tenia el mismo: por ejemplo, lo que se llama un gusano, que se fuera propagando por todos los usuarios de la red (de amigo a amigo) y que a la vez diera de baja los perfiles o cambiara los datos de acceso. Miles y miles de usuarios podrían haber sido resultado afectados.
Evidentemente nuestra intención no era hacer ningún daño, ya que como he dicho todo esto empezó por simple aburrimiento. Así que debido a la relación de amistad que tiene (o tenía) outime con Tuenti, llamó personalmente a Ícaro Moyano (Director de Comunicación de Tuenti) para que arreglaran inmediatamente el bug. Por aquellos días en Tuenti estaban liados con el nuevo diseño, por lo que Ícaro no le dio mucha importancia al asunto diciendo que ya lo arreglarían. Recuerdo la conversación por Skype que tuve después con outime, el cual estaba totalmente indignado y cabreado, ¡y con razón!, debido a la importancia del asunto y el poco interés mostrado. A mí sinceramente no me sorprendió este comportamiento por parte de Tuenti, siempre pensé que los usuarios de su red eran lo que menos les importaba y este hecho lo dejó claro.
Visto el caso que nos hicieron, outime dijo de publicar un post dando a conocer la existencia del bug (pero sin dar detalles) para así meter presión a Tuenti y que se diera prisa en arreglar el bug. Él dijo que lo publicaría en su blog, que a diferencia del mio, leído por cuatro gatos que pasaban por allí, es seguido por mucha más gente, entre la que se encuentra algún que otro cancamusero sacado de Tuituza famoso 2.0 y por tanto, así tendría mayor repercusión.
El post fue publicado, llegando a aparecer incluso en portada de menéame. Tras 5 días, los de Tuenti se dignaron a arreglar el bug y un nuevo post explicando los detalles fue publicado (post que también apareció en portada de menéame). Yo jamás llegue a recibir ni un mísero email de agradecimiento. Por otro lado, los post del blog de outime, aparte de salir en portada de menéame, han sido y siguen siendo referenciados en blogs, y en la mayoría de los casos, no se me menciona.
Prueba de esto que digo está en un post del conocido blog SOY GIK, en el que aparece como descubridor de la vulnerabilidad outime y "otro compañero" literalmente, sin ni siquiera haberse molestado el autor del post en leer y poner mi nombre y mucho menos poner un link a mi blog. Como curiosidad, en el mismo post sí hay una mención hacia mí, pero por un comentario que dejé en menéame en el que explicaba en que consistía la vulnerabilidad, en ningún caso como descubridor de la vulnerabilidad.
Por suerte, no todo tiene por qué ser igual. Por ejemplo, está el caso de la periodista Mercè Molist, que en un post "recopilatorio" (por así llamarlo) de su blog, hace referencia a la vulnerabilidad de Tuenti y se molesta en poner tanto el nombre (y nick) de outime como el mío.
PD: Y tras ver como hago de quejica y como me gano algunos amigos (/ironic), ya podéis llamar a la Buaaambulancia.
Lo de Tuenti fue indignante. Sigo manteniendo relación con ellos... de hecho no se ha visto mermada en absoluto, aunque hubo momentos de especial tensión (en especial, con el "voy a publicarla") donde la goma se estiró demasiado.
Afortunadamente después de cinco días (y digo afortunadamente, porque tanto sabrás tú como yo que hay casos peores, más vale tarde que nunca) lo arreglaron, aunque no lo reconocieron públicamente (lo cual no es una sorpresa).
Al igual, entiendo tu queja sobre la autoría, porque yo he sufrido lo mismo en otras ocasiones. Yo me limité a escribir los hechos (y por supuesto, hablando de un trabajo colaborativo, citándote en todo momento y enlazándote).
De todas maneras, si te consuela, yo tampoco recibí ningún e-mail de agradecimiento... la prepotencia de algunos te enseña que quizá a veces no hay que seguir una misma metodología con los agujeros de seguridad para todo el mundo, si no que hay que hacerla más selectiva... ¿o no? :-)
Un saludo (y que dure el blog, ya lo cambié en los feeds :D)