Hallan una vulnerabilidad, Snapchat coloca un cutre parche, anuncia que ha arreglado el problema, trata de poner trabas al investigador que lo encontró y trata de encubrir su pifia cuando descubren que no está solventada y vuelven a sacarles los colores. Así una y otra vez. Es el cuento de nunca acabar de dos investigadores españoles.
Se le da mucha caña a los de snapchat, diciendo que mienten, escurren el bulto y ponen trabas, pero lo único que se puede sacar realmente del correo que enlazan (lo único tangible en el post) es que snapchat no les va a dar un duro a cambio de la información. Ni rechazo, ni trabas ni nada parecido... Seguro que se les puede meter mierda mucho mejor fundamentada.
#5 #6
Como decís el artículo es pobre y da la sensación que la principal queja de los "hackers" es que no les han dado dinero por informarles del fallo.
Por lo demás bueno, el problema de que no caduquen los tokens es que si te los descubren una vez ya los tienen para siempre, si se generasen digamos una vez al mes o algo así, ya solo con eso complicarían bastante la tarea quien quisiera "hackearte".
Me hace también gracia la referencia a Anonymous y "sus" ataques DdoS.
¿Cuál es la diferencia entre el e-mail de snapchat y el de apple? ¿Qué el de apple es de hecho una simple plantilla? Yo creo que lo que les molesta es que no tengan un bounty program ya que por la respuesta es evidente que han preguntado por ello. Me parece razonable que una aplicación tan nueva no tenga todavía un bounty program.
Por otra parte, ¿de dónde saca quien escribió el artículo que la seguridad es un indudable reclamo de Snapchat? El reclamo de Snapchat es simplemente que los mensajes se auto-destruyen.
Respecto al token creo que si prefieren que no caduque es por algún motivo; es evidente que si lo quisiesen cambiar sabrían hacerlo. Si son capaces de controlar el SPAM con otras técnicas, no veo porqué tienen que caducar los token sólo porque así le parezca a estas dos personas.
Me parece un artículo totalmente sensacionalista y tendencioso. ¿Que Snapchat disimula? No, han aplicado un parche, según ellos "cutre". Bueno, probablemente no ataje el problema de raíz, pero quizás no puedan tampoco hacerlo sin causar otros problemas mayores.
Además, fijaos en lo que dice el artículo: "Los investigadores les ayudan a corregir sus fallos por amor al arte y ellos responden con evasivas, indiferencia o directamente rechazo."
Y más abajo: "¿No sería más fácil reconocer –o incluso premiar– el trabajo de los investigadores?". Si lo haces por "amor al arte" no te quejes si no te pagan. Además de que han publicado solo uno de los correos que se han intercambiado con la compañía, no sabemos si en los otros les agradecen el trabajo. Solo han puesto el correo en el que dicen "no, no os vamos a pagar por el descubrimiento".
Por último, la solución que han implementado parece estar únicamente en los servidores, lo cual parece más rápido de hacer que realizar modificaciones en el cliente y forzar actualizaciones a todo el mundo, además de que ellos siempre pueden decidir incluirlo en alguna versión futura.
Comentarios
Estos dos se están haciendo amigos por todas partes... Me alegro que haya gente así y el tiempo les recompensará!
Se le da mucha caña a los de snapchat, diciendo que mienten, escurren el bulto y ponen trabas, pero lo único que se puede sacar realmente del correo que enlazan (lo único tangible en el post) es que snapchat no les va a dar un duro a cambio de la información. Ni rechazo, ni trabas ni nada parecido... Seguro que se les puede meter mierda mucho mejor fundamentada.
#5
#6
Como decís el artículo es pobre y da la sensación que la principal queja de los "hackers" es que no les han dado dinero por informarles del fallo.
Por lo demás bueno, el problema de que no caduquen los tokens es que si te los descubren una vez ya los tienen para siempre, si se generasen digamos una vez al mes o algo así, ya solo con eso complicarían bastante la tarea quien quisiera "hackearte".
Me hace también gracia la referencia a Anonymous y "sus" ataques DdoS.
¿Cuál es la diferencia entre el e-mail de snapchat y el de apple? ¿Qué el de apple es de hecho una simple plantilla? Yo creo que lo que les molesta es que no tengan un bounty program ya que por la respuesta es evidente que han preguntado por ello. Me parece razonable que una aplicación tan nueva no tenga todavía un bounty program.
Por otra parte, ¿de dónde saca quien escribió el artículo que la seguridad es un indudable reclamo de Snapchat? El reclamo de Snapchat es simplemente que los mensajes se auto-destruyen.
Respecto al token creo que si prefieren que no caduque es por algún motivo; es evidente que si lo quisiesen cambiar sabrían hacerlo. Si son capaces de controlar el SPAM con otras técnicas, no veo porqué tienen que caducar los token sólo porque así le parezca a estas dos personas.
Me parece un artículo totalmente sensacionalista y tendencioso. ¿Que Snapchat disimula? No, han aplicado un parche, según ellos "cutre". Bueno, probablemente no ataje el problema de raíz, pero quizás no puedan tampoco hacerlo sin causar otros problemas mayores.
Además, fijaos en lo que dice el artículo: "Los investigadores les ayudan a corregir sus fallos por amor al arte y ellos responden con evasivas, indiferencia o directamente rechazo."
Y más abajo: "¿No sería más fácil reconocer –o incluso premiar– el trabajo de los investigadores?". Si lo haces por "amor al arte" no te quejes si no te pagan. Además de que han publicado solo uno de los correos que se han intercambiado con la compañía, no sabemos si en los otros les agradecen el trabajo. Solo han puesto el correo en el que dicen "no, no os vamos a pagar por el descubrimiento".
Por último, la solución que han implementado parece estar únicamente en los servidores, lo cual parece más rápido de hacer que realizar modificaciones en el cliente y forzar actualizaciones a todo el mundo, además de que ellos siempre pueden decidir incluirlo en alguna versión futura.
Todo un desastre "revelaron que los archivos multimedia se transmiten sin cifrado"
#1 lo que dices es sobre viber, no snapchat.
Sobre spanchat es lo demás, escrito más abajo... a mi (aunque no entiendo apenas de informática) me ha resultado interesante leerlo.
#1 Lee bien anda.