Bueno en este articulo voy a hablar de un servicio muy conocido llamado “Servientrega” muy similar al famoso “FEDEX”, el cual para quien no lo sabe es un sistema de mensajeria y paqueteria USUALMENTE puerta a puerta o de recogida central.

El dia 27 de oct de 2011 venia de clases y decidi pasar por la central a ver si ya me habia llegado un paquete que me habian enviado 2 dias atras, entregue mi tarjeta de identificacion y me digeron que ya se encontraba en su bodega y estaba listo para retirarse.

Bueno analizando la situacion todo muy bien, pero note que con solo dar ciertos datos y tener una identificacion se podria retirar un paquete sin problemas, vaya!! Pero es muy “DIFICIL” ante muchos conseguir toda la informacion de un envio:

Quien envia, quien recibe, lugar, identificaciones ,etc. por eso no hay problema cierto? MUY DIFICIL OBTENER CIERTA INFO?

Mucho mas dificil tener la identificacion del receptor!! hacerse con ella y obtener un paquete, al parecer todo esta bien por que es “DIFICIL” conseguir toda esa informacion sin conocer a la persona, seamos francos y vayamos a la realidad…

Al retirar mi paquete tenia que pagar un valor que se definia segun la distancia y el peso como en el momento no estaba conciente de que la persona que enviaba no iba a pagar el envio ya que era del metodo “AL COBRO” (el cual consiste en pagar una vez recibido el paquete) decido ir a mi casa y buscar dinero para poder hacer el retiro!, aqui es donde se enciende la luz… al ver mi NUMERO DE GUIA lo ingrese en el Rastreador de envios que tiene la pagina.

www.servientrega.com/wps/portal/inicio

Me imprimio los datos completos de mi envio… asi que decido crear un numero secuencial para ver si habia otro numero de guia y correspondia a otro paquete.
Mi numero de Guia= 7171257XXX
Numero Aleatorio= 7171257298

Efectivamente el numero secuencial con las ultimas tres cifras aleatorias me dio la informacion completa de un envio, que claramente no era el mio.

vaya es info linda y valiosa…logramos ver:

REMITENTE
DESTINATARI@
DIRECCIONES
FECHAS PIEZAS
DESTINOS
y Lugar donde se encuentra el paquete :D

 

Ahora como muchos saben el photoshop hace maravillas!! y con un facil manejo de nivel basico-medio se puede hacer una Identificacion falsa.

Te preguntaras “ESTO NO FUNCIONARA!!” esa gente sabe como detectar eso y lo otro y bla bla bla… MENTIRA!! en el tiempo que llevo recibiendo paquetes y mi analisis segun su comportamiento NUNCA se han fijado en datos distintos a lo ESENCIAL [NOMBRE Y NUMERO DE ID](ya que con una tarjeta de identificacion donde los datos concuerdan TODO ES PROMETEDOR!)

Asi que en pocas palabras la seguridad de informacion que fluye tanto entrante como saliente es INSEGURA!!

 

Planteemos el Escenario

1-Tenemos la ID falsa lista
2-Hacemos una llamada a la central para saber si el articulo aun esta en bodega
3-se repasa un poco la info de memoria, no se quiere fallar al momento de las preguntas superficiales.
4- se recibe el articulo y te vas.

QUE INSEGURO NO???

Seamos sinceros, lo peor de todo es que los numeros de GUIAS se pueden explorar en rangos y nos da distintos DESTINOS y LUGARES DE ENVIO, es dificil para un particular estar viajando y cazando los envios de otros, pero pensemos.. que tal si una organizacion de varias personas en todo el pais, [ESTO SE PUEDE GRACIAS A INTERNET] se dedica a esto? creanme que muchos envian cosas de valor y podrian haber perdidas millonarias.

Nota: no en todas se fuga la ID del cliente, todo va dependiendo del tipo de documento.

Fugas:

CC No se Imprime  <— El unico Que es seguro?

TI si se imprime

DT si se imprime

otro Tipo de Documento si se imprime.
CONCLUSION

No esta demas aclarar que mis articulos NO SON PROBADOS CON TERCEROS REALES debido a que si algo falla no quiero terminar en la carcel jajaja y la idea no es ROBAR es analizar la seguridad para reforzarla y que errores asi no lo sepan personas con fines perversos.

Pero tambien aclaro que esto fue probado 100% en el cual un amigo se hace pasar por mi para retirar mi paquete ;) y todo salio bien, que inseguridad por dios jajaja PWNED!!!

Por: nov - 12 - 2011 2 comentarios Articulo completo

Patrocinadores

2 comentarios...

  1. Aeon dice:

    haha que buena anécdota, son gente que cree que su sistema está del todo bien, pero no saben que tienen un hueco enorme, gracias por compartirnos esto y tengo una pregunta. ¿Intentaste o sacaste algún pedido que no era tuyo alguna vez?

Dejar una Respuesta


PROXIMOS EVENTOS

  • Conferencia:
contacto (arroba) insecure.org.mx
  • Delicious
  • Digg
  • Facebook
  • Twitter
  • Vimeo
HACKING

Usando BeEF con Meta

Que tal , el dia de hoy les tengo el ...

xampp

Explotar Xampp+phpMy

En el video de hoy les enseñaremos como lograr obtener ...

inseecure

Mes de Mayo

Nos preparamos para entrar de lleno en este mes, con ...

spyeye

Hackeando SpyEye 1.3

Nuevo vídeo, donde se explica cómo vulnerar la nueva versión ...

java-0-day

Publicado el exploit

Ya esta publicado el modulo del 0day (java) en Metasploit. Modulo java_jre17_exec.rb Los ...

bug

Explotando Bugs en

------------------------------------------------------------------------------------- Directory Transversal Esta vulnerabilidad se basa principalmente en obtencion archivos mediante ...

HACKING

Usando BeEF con Meta

Que tal , el dia de hoy les tengo el ...

ruby

Actualizar Ruby en S

procedemos a instalar la ultima vercion de Ruby rvm install 1.9.3 terminando ...

evil_robot_by_b_maze

Creando un [BOT MSN]

Bueno me inspire a crear este articulo.. ya que hace ...

Patrocinadores

  • Tú web aquí
  • Tú web aquí
  • Tú web aquí
  • Tú web aquí