Así como lo leen, de la misma página de Teleticket que vende las entradas al concierto:
La descripción del lugar (SOLO PROGRES, NO POBRES) va con los precios verdad?
Bromas aparte, el objetivo de este post es, además de hacer un comentario gratuito sobre la tiranía que sufre el pueblo cubano con artistas comodones que usan ese sufrimiento como panfleto, es el de comentar un terrible agujero de seguridad presente en Teleticket hace al menos un par de años en que les envié un correo reportando esto, pero al parecer "no llegó".
En qué consiste el agujero? Un ataque sofisticado a sus servidores de DNS? No. Complicadas sentencias de XSS? Tampoco. Inyección de SQL? Menos.
Las páginas de Teleticket generan su contenido desde la URL.
Un error tan infantil que resulta increíble, especialmente viniendo de una empresa que tiene transacciones de dinero por Internet, y para colmo con el sello de "Verified by Visa". No pudieron contratar al menos un desarrollo que tenga un MÍNIMO de nociones de seguridad de la información?
Y si tienen este tipo de problemas (que saltan a la vista tan solo con su URL), que cosas mas tendrán. Mis predicciones incluyen al menos SQL injection y XSS.
Lo mejor de todo es este mensaje en su página: "Además, podrás comprar tus boletos on line con la seguridad que sólo TELETICKET puede darte."
Y Cuba es un paraíso socialista, protegido por el Flying Spaghetti Monster, verdad?
(Mas información en el Útero)
tags: cuba teleticket seguridad infosec silvio+rodriguez
February 21, 2007
» Silvio Rodriguez apoya Tiranos (y Teleticket no sabe nada de seguridad en Internet)
