#166 El mercado negro tendrá sus viernes negros también... rebajas en asesinatos, dale una paliza al padre y al bebe te sale gratis (los regalos siempre han sido un poco mierdas la verdad).. etc etc

#86 ¿Pero la API es pública?
¿En un master (o cualquier tipo de estudios) hacen pruebas lanzando peticiones contra sistemas de terceros alegremente? Por que si es así es para llevarse las manos a la cabeza.

Más cuando por lo que estáis explicando, es un sistema muy básico que se puede simular con un servidor en local y unas pocas lineas de código.

#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:

#78 #54 En principio lo que ha hecho la persona que ha accedido a la API es:

- Escuchar las solicitudes de la aplicación (si no van con https) o hacer ingeniería inversa sobre la aplicación. Esto para entender como funciona la API.

- Programar un código para saltar la lógica del sistema CSRF (https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)) que tenga bicimad. Este es un tipo de ataque que contempla OWASP.

- Montar una aplicación que combina ambas cosas para poder acceder al servicio haciendose pasar por la aplicación.

Desde mi punto de vista, si ha programado un sistema que se salta una proteccion es un hacker. Otra cosa es que lo use para su beneficio (crear aplicacion == promoción de sus skills), lo cual es entendible, pero además se ha lucrado ya que le han dado 40k euros y ahí ya la cosa no es tan whitehat como puede parecer.

Yo si me pongo del lado de la empresa bonopark, lo que haría, aunque no suene bien, es denunciar a esta persona por estar explotando un fallo de seguridad en su aplicacion cerrada para su beneficio económico.

Si yo hubiera hecho esto, avisaría a la empresa y acordaría con ellos darles una ventana para solucionarlo y posteriormente publicar detalladamente lo que se podía hacer en mi blog. El autor no ha hecho esto, ha hecho una aplicación y está ganando dinero con ello.

#81 El tema del CSRF sería suponiendo que el sistema de Bicimad lo tenga, que igual no. Y si lo tiene no sé hasta que punto sería delito saltárselo, una cosa es usar la API y otra realizar algún tipo de ataque.

Además como bien dices se ha lucrado y toda esta publicidad me extraña bastante como para ser un proyecto sin ánimo de lucro...

#81

- Primero, nada de CSRF, simplemente utilizamos su API igual que la utilizan ellos.

- Segundo, solo hemos tenido pérdidas, los $40000 de FbStart son solo en software y SAAS pero ni un euro en cash ni en inversión. No ganamos ni un euro con esto.

- Tercero, a Bonopark hemos intentado contactarles de mil maneras y pasan de nosotros. Ya tengo escrita la auditoría para nuestro blog, al igual que tenemos pensado hacerlo todo Open Source, pero no pienso sacarla hasta que no arreglen la API.

#84 Mira, ya que me calzas un negativo a un comentario sin seguir las reglas de menéame (racismo, insulto, spam), y eres el autor de la app, voy a ser más crudo y menos comedido.

Un API está hecho por definición para ser utilizado por otro software como una capa de abstracción. Dado que ellos no han dado su autorización para ser usada, ni la han documentado para tal fin, es trivial deducir que a lo que tú llamas API, realmente es un uso ilícito de sus funciones privadas a las que tienes acceso porque has hecho reversing a la aplicación de android o has escuchado las peticiones en plano.

Por cierto, si dices que has tenido perdidas, entiendo que estamos hablando de algo empresarial con el fin de ganar dinero. Volvemos a lo mismo ¿hacer dinero usando los sistemas de un tercero que no te autoriza a ello? A mi no me parece algo sobre lo que ir presumiendo.

Desde que os han dado un euro para esto, en especias por lo que indicas, el romanticismo del hacker que va buscando fallos de seguridad por compromiso con la comunidad se acaba, y viene la parte empresarial. Y no saldríais bien parados si bonopark os denuncia por lucraros de este modo.

Una pregunta sin maldad ¿para "acceder" a la "API" de bonopark es necesario impersonarse (ej. via user-agent) como si fuerais la aplicación original?

#85

Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.

Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.

Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.

#84 Por favor, asegúrate de que lo que reportas incumple realmente las normas.

#81 Bueno, en un master de desarrollo de apps ios/android se hizo una app para ver y enviar incidencias de biciMad, sin programar nada para saltarse nada, solo usando peticiones que usa la API.
La podíamos haber mejorado y venderla, no por eso somos hackers 😎 o sí, pero es muy gratuito...no se vulnera nada.

#86 ¿Pero la API es pública?
¿En un master (o cualquier tipo de estudios) hacen pruebas lanzando peticiones contra sistemas de terceros alegremente? Por que si es así es para llevarse las manos a la cabeza.

Más cuando por lo que estáis explicando, es un sistema muy básico que se puede simular con un servidor en local y unas pocas lineas de código.

#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:

#37 Peor son los que con un puto diluvio no encienden las luces, porque "es de día".

#15 De asegurar primero, para luego el compañero subir asegurado. La loable labor de equipar una vía se lo dejo a las asociaciones, a las cuales se lo agradezco ya que me llena mucho más la escalada deportiva en la naturaleza que no en rocodromo o boulder.

#14 ¿Cómo? No lo pongo en duda. Sólo que no lo he visto nunca.

#20 Es un tema controvertido. Son críos de la nueva hornada de padres escaladores que han trepado con pañales y con 10 años tienen una relación experiencia/peso/fuerza que les convierte en máquinas de subir por las paredes. Luego con los años y el inevitable aumento de peso, ese nivel puede bajar.

#25 Me lo creo. Yo había visto a niños de 15 años hacer cosas de esas. Pero no de menos.

#41 justo estaba poniendo lo mismo , cuando levante la vista y me habias copiaooo jaja