Portada
mis comunidades
otras secciones
#28 en la capilla ardiente estaban con el CALORET a tope 😅
#81 Bueno, en un master de desarrollo de apps ios/android se hizo una app para ver y enviar incidencias de biciMad, sin programar nada para saltarse nada, solo usando peticiones que usa la API.
La podíamos haber mejorado y venderla, no por eso somos hackers 😎 o sí, pero es muy gratuito...no se vulnera nada.
#86 ¿Pero la API es pública?
¿En un master (o cualquier tipo de estudios) hacen pruebas lanzando peticiones contra sistemas de terceros alegremente? Por que si es así es para llevarse las manos a la cabeza.
Más cuando por lo que estáis explicando, es un sistema muy básico que se puede simular con un servidor en local y unas pocas lineas de código.
#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:
Qué gratuito es usar "HACKEAR" para todo, ¿eh? Por otro lado, ¿qué tiene de malo utilizar la API de BiciMad para mejorar el servcio?
#78 #54 En principio lo que ha hecho la persona que ha accedido a la API es:
- Escuchar las solicitudes de la aplicación (si no van con https) o hacer ingeniería inversa sobre la aplicación. Esto para entender como funciona la API.
- Programar un código para saltar la lógica del sistema CSRF (https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)) que tenga bicimad. Este es un tipo de ataque que contempla OWASP.
- Montar una aplicación que combina ambas cosas para poder acceder al servicio haciendose pasar por la aplicación.
Desde mi punto de vista, si ha programado un sistema que se salta una proteccion es un hacker. Otra cosa es que lo use para su beneficio (crear aplicacion == promoción de sus skills), lo cual es entendible, pero además se ha lucrado ya que le han dado 40k euros y ahí ya la cosa no es tan whitehat como puede parecer.
Yo si me pongo del lado de la empresa bonopark, lo que haría, aunque no suene bien, es denunciar a esta persona por estar explotando un fallo de seguridad en su aplicacion cerrada para su beneficio económico.
Si yo hubiera hecho esto, avisaría a la empresa y acordaría con ellos darles una ventana para solucionarlo y posteriormente publicar detalladamente lo que se podía hacer en mi blog. El autor no ha hecho esto, ha hecho una aplicación y está ganando dinero con ello.
#81 El tema del CSRF sería suponiendo que el sistema de Bicimad lo tenga, que igual no. Y si lo tiene no sé hasta que punto sería delito saltárselo, una cosa es usar la API y otra realizar algún tipo de ataque.
Además como bien dices se ha lucrado y toda esta publicidad me extraña bastante como para ser un proyecto sin ánimo de lucro...
#81
- Primero, nada de CSRF, simplemente utilizamos su API igual que la utilizan ellos.
- Segundo, solo hemos tenido pérdidas, los $40000 de FbStart son solo en software y SAAS pero ni un euro en cash ni en inversión. No ganamos ni un euro con esto.
- Tercero, a Bonopark hemos intentado contactarles de mil maneras y pasan de nosotros. Ya tengo escrita la auditoría para nuestro blog, al igual que tenemos pensado hacerlo todo Open Source, pero no pienso sacarla hasta que no arreglen la API.
#84 Mira, ya que me calzas un negativo a un comentario sin seguir las reglas de menéame (racismo, insulto, spam), y eres el autor de la app, voy a ser más crudo y menos comedido.
Un API está hecho por definición para ser utilizado por otro software como una capa de abstracción. Dado que ellos no han dado su autorización para ser usada, ni la han documentado para tal fin, es trivial deducir que a lo que tú llamas API, realmente es un uso ilícito de sus funciones privadas a las que tienes acceso porque has hecho reversing a la aplicación de android o has escuchado las peticiones en plano.
Por cierto, si dices que has tenido perdidas, entiendo que estamos hablando de algo empresarial con el fin de ganar dinero. Volvemos a lo mismo ¿hacer dinero usando los sistemas de un tercero que no te autoriza a ello? A mi no me parece algo sobre lo que ir presumiendo.
Desde que os han dado un euro para esto, en especias por lo que indicas, el romanticismo del hacker que va buscando fallos de seguridad por compromiso con la comunidad se acaba, y viene la parte empresarial. Y no saldríais bien parados si bonopark os denuncia por lucraros de este modo.
Una pregunta sin maldad ¿para "acceder" a la "API" de bonopark es necesario impersonarse (ej. via user-agent) como si fuerais la aplicación original?
#85
Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.
Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.
Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.
#81 Bueno, en un master de desarrollo de apps ios/android se hizo una app para ver y enviar incidencias de biciMad, sin programar nada para saltarse nada, solo usando peticiones que usa la API.
La podíamos haber mejorado y venderla, no por eso somos hackers 😎 o sí, pero es muy gratuito...no se vulnera nada.
#86 ¿Pero la API es pública?
¿En un master (o cualquier tipo de estudios) hacen pruebas lanzando peticiones contra sistemas de terceros alegremente? Por que si es así es para llevarse las manos a la cabeza.
Más cuando por lo que estáis explicando, es un sistema muy básico que se puede simular con un servidor en local y unas pocas lineas de código.
#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:
#2 y el de "uso de luces antiniebla en días de lluvia". Que hay gente que con dos gotas ya la consideran MUY INTENSA y ¡a deslumbrar al personal!
No se bebe. Por eso detienen a populares ebrios que se han puesto como las grecas...
Mmmmmm... ahí hay truco
#12 abrir de equipar o abrir de escalar de primero?
#3 hasta que han llegado niñas de 9años que hacen 9a
#20 Es un tema controvertido. Son críos de la nueva hornada de padres escaladores que han trepado con pañales y con 10 años tienen una relación experiencia/peso/fuerza que les convierte en máquinas de subir por las paredes. Luego con los años y el inevitable aumento de peso, ese nivel puede bajar.
Mi agua para tanto turista, ni pan para tanto chorizo.
"El perro" se ha comido mis apuntes
¿Y no se les ha ido la mano como en la frontera?
-Profesor, necesito aprobar.
+Haber estudidado más
-No me has entendido...NE-CE-SI-TO APROBAR (sacando arma y apuntando al profesor).
Muy bueno. Resulta curioso que haya una arquitecta y un diseñador viendo esos trazos...
Seguí y dimití
Pues no te digo nada si esto finalmente ocurre... jajajajaja Pokémon GO podría tener versión VR (Realidad Virtual)
Algunos usuarios de Pokémon GO se han dado cuenta de algo. En las opciones del juego Pokémon GO se menciona en las licencias a Google Cardboard, las gafas de cartón de Google. Esto ha provocado que muchos usuarios piensen que, en futuras versiones, el juego cuente con una opción de utilizar unas gafas de realidad virtual. La empresa española Cartonglass se ha hecho eco de este descubrimiento y deja en el aire la opción de diseñar un modelo dedicado a Pokémon GO. Ya veremos como evoluciona este 'rumor'.
De ahí viene lo de 'zurrarse la sardina'
De un altavoz de esos que llevan los latinos a todo rabo, en todos lados
HIJODELAGRANPUTA o integrante de HSM, que es casi lo mismo
Encuesta que promueve el 'noticiero' Madrid Actual para ver la opinión de los/as ciudadanos/as de Madrid. No vale trolear :)
Algunos usuarios de Pokémon GO se han dado cuenta de algo. En las opciones del juego Pokémon GO se menciona en las licencias a Google Cardboard, las gafas de cartón de Google. Esto ha provocado que muchos usuarios piensen que, en futuras versiones, el juego cuente con una opción de utilizar unas gafas de realidad virtual. La empresa española Cartonglass se ha hecho eco de este descubrimiento y deja en el aire la opción de diseñar un modelo dedicado a Pokémon GO. Ya veremos como evoluciona este 'rumor'.
Encuesta que promueve el 'noticiero' Madrid Actual para ver la opinión de los/as ciudadanos/as de Madrid. No vale trolear :)
El gobierno del PP en la Comunidad de Madrid ha activado un impuesto (ITP) por el cual todos los que vivamos de alquiler en esta región tendremos que pagar más a Hacienda, ¡incluso por los cuatro años anteriores de alquiler (aunque no nos avisaron)! El importe a abonar, por ejemplo, por un contrato con una renta de 600 €/mes asciende a 86,4 €.
El partido de Albert Rivera en Madrid se encuentra bajo sospecha judicial, ya que está imputada su ex secretaria de Organización en la capital de España, Patricia Ocaña, por falsificación documental y suplantación de identidad de la portavoz municipal de Ciudadanos Begoña Villacís. Esta semana la Brigada Central de Seguridad Informática se ha puesto ya en contacto con el supuestamente estafado, Antonio López Martínez, e investiga el entramado interno de Ciudadanos, en concreto sus correos corporativos desde donde se fraguó la trama [...]
Así sería la película de los 10 años de Facebook en la cuenta del PP. Un resumen de sus 'perlas' durante este mandato (y lo que nos queda).
Se acerca la 3ª edición de 'Marcha Zombi Madrid'. Es un encuentro de gente de todas partes con una cosa en común, ir caracterizados de zombies por las calles de Madrid (desde Goya a Sol). Si os apetece pasar un rato divertido y conocer gente apuntaros en www.marchazombi.es, donde encontraréis más información. La Marcha Zombie Madrid se solidariza con una asociación que ayuda a necesitados, por lo que si podéis traer algún alimento en lata o no perecedero mejor que mejor. Os esperamos!
#155 ¿en el mercado negro o en el viernes negro?
#28 en la capilla ardiente estaban con el CALORET a tope 😅
#81 Bueno, en un master de desarrollo de apps ios/android se hizo una app para ver y enviar incidencias de biciMad, sin programar nada para saltarse nada, solo usando peticiones que usa la API.
La podíamos haber mejorado y venderla, no por eso somos hackers 😎 o sí, pero es muy gratuito...no se vulnera nada.
#86 ¿Pero la API es pública?
¿En un master (o cualquier tipo de estudios) hacen pruebas lanzando peticiones contra sistemas de terceros alegremente? Por que si es así es para llevarse las manos a la cabeza.
Más cuando por lo que estáis explicando, es un sistema muy básico que se puede simular con un servidor en local y unas pocas lineas de código.
#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:
Qué gratuito es usar "HACKEAR" para todo, ¿eh? Por otro lado, ¿qué tiene de malo utilizar la API de BiciMad para mejorar el servcio?
#78 #54 En principio lo que ha hecho la persona que ha accedido a la API es:
- Escuchar las solicitudes de la aplicación (si no van con https) o hacer ingeniería inversa sobre la aplicación. Esto para entender como funciona la API.
- Programar un código para saltar la lógica del sistema CSRF (https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)) que tenga bicimad. Este es un tipo de ataque que contempla OWASP.
- Montar una aplicación que combina ambas cosas para poder acceder al servicio haciendose pasar por la aplicación.
Desde mi punto de vista, si ha programado un sistema que se salta una proteccion es un hacker. Otra cosa es que lo use para su beneficio (crear aplicacion == promoción de sus skills), lo cual es entendible, pero además se ha lucrado ya que le han dado 40k euros y ahí ya la cosa no es tan whitehat como puede parecer.
Yo si me pongo del lado de la empresa bonopark, lo que haría, aunque no suene bien, es denunciar a esta persona por estar explotando un fallo de seguridad en su aplicacion cerrada para su beneficio económico.
Si yo hubiera hecho esto, avisaría a la empresa y acordaría con ellos darles una ventana para solucionarlo y posteriormente publicar detalladamente lo que se podía hacer en mi blog. El autor no ha hecho esto, ha hecho una aplicación y está ganando dinero con ello.
#81 El tema del CSRF sería suponiendo que el sistema de Bicimad lo tenga, que igual no. Y si lo tiene no sé hasta que punto sería delito saltárselo, una cosa es usar la API y otra realizar algún tipo de ataque.
Además como bien dices se ha lucrado y toda esta publicidad me extraña bastante como para ser un proyecto sin ánimo de lucro...
#81
- Primero, nada de CSRF, simplemente utilizamos su API igual que la utilizan ellos.
- Segundo, solo hemos tenido pérdidas, los $40000 de FbStart son solo en software y SAAS pero ni un euro en cash ni en inversión. No ganamos ni un euro con esto.
- Tercero, a Bonopark hemos intentado contactarles de mil maneras y pasan de nosotros. Ya tengo escrita la auditoría para nuestro blog, al igual que tenemos pensado hacerlo todo Open Source, pero no pienso sacarla hasta que no arreglen la API.
#84 Mira, ya que me calzas un negativo a un comentario sin seguir las reglas de menéame (racismo, insulto, spam), y eres el autor de la app, voy a ser más crudo y menos comedido.
Un API está hecho por definición para ser utilizado por otro software como una capa de abstracción. Dado que ellos no han dado su autorización para ser usada, ni la han documentado para tal fin, es trivial deducir que a lo que tú llamas API, realmente es un uso ilícito de sus funciones privadas a las que tienes acceso porque has hecho reversing a la aplicación de android o has escuchado las peticiones en plano.
Por cierto, si dices que has tenido perdidas, entiendo que estamos hablando de algo empresarial con el fin de ganar dinero. Volvemos a lo mismo ¿hacer dinero usando los sistemas de un tercero que no te autoriza a ello? A mi no me parece algo sobre lo que ir presumiendo.
Desde que os han dado un euro para esto, en especias por lo que indicas, el romanticismo del hacker que va buscando fallos de seguridad por compromiso con la comunidad se acaba, y viene la parte empresarial. Y no saldríais bien parados si bonopark os denuncia por lucraros de este modo.
Una pregunta sin maldad ¿para "acceder" a la "API" de bonopark es necesario impersonarse (ej. via user-agent) como si fuerais la aplicación original?
#85
Pues las apps que simplemente ponen iAds o Google Ads, ya están ganando dinero. Las que tienen in-app purchase también. ¿Ves alguna forma de que nosotros ganemos dinero con esto? No, porque no la hay.
Con perdidas nos referimos a gasto en servidores, licencias de las stores, camisetas, pegatinas para los usuarios... Todo eso sale de nuestro bolsillo y no esperamos nada a cambio. Por lo que no, no queremos ganar dinero con esto. En el TechHub explicamos que no teníamos modelo de negocio porque no es un negocio, lo hacemos para pasarlo bien y para que la gente pueda usar las bicis de Madrid sin desesperarse con una app que no funciona.
Lo de "hacker" lo dice el artículo, yo no me considero un "hacker", simplemente me parece mal hacer público el fallo hasta que no lo arreglen, nada de romanticismo... Si Bonopark nos denuncia por lo menos se comunicarían con nosotros, cosa que no ha ocurrido en ningún momento, pero no nos denunciarían por lucrarnos porque eso no ha ocurrido. ¿Consideras lucrarse tres meses de Dropbox o un 15% de descuento para comprar productos de Adobe? Porque es el tipo de cosas que nos ha dado FBStart.
Y a tu pregunta, no, no hace falta cambiar el user-agent, no hace falta saltarse el CSRF, no hace falta ninguna de esas cosas porque la seguridad que metieron a la API después de esto (https://eskerda.com/auditoria-bicimad/) fue nula.
#81 Bueno, en un master de desarrollo de apps ios/android se hizo una app para ver y enviar incidencias de biciMad, sin programar nada para saltarse nada, solo usando peticiones que usa la API.
La podíamos haber mejorado y venderla, no por eso somos hackers 😎 o sí, pero es muy gratuito...no se vulnera nada.
#86 ¿Pero la API es pública?
¿En un master (o cualquier tipo de estudios) hacen pruebas lanzando peticiones contra sistemas de terceros alegremente? Por que si es así es para llevarse las manos a la cabeza.
Más cuando por lo que estáis explicando, es un sistema muy básico que se puede simular con un servidor en local y unas pocas lineas de código.
#86 Si sacar las estaciones está tirado, lo que es (un poquito, no mucho, jeje) mas complicado es el login. Aquí mas info sobre este tema:
#2 y el de "uso de luces antiniebla en días de lluvia". Que hay gente que con dos gotas ya la consideran MUY INTENSA y ¡a deslumbrar al personal!
No se bebe. Por eso detienen a populares ebrios que se han puesto como las grecas...
Mmmmmm... ahí hay truco
#12 abrir de equipar o abrir de escalar de primero?
#3 hasta que han llegado niñas de 9años que hacen 9a
#20 Es un tema controvertido. Son críos de la nueva hornada de padres escaladores que han trepado con pañales y con 10 años tienen una relación experiencia/peso/fuerza que les convierte en máquinas de subir por las paredes. Luego con los años y el inevitable aumento de peso, ese nivel puede bajar.
Mi agua para tanto turista, ni pan para tanto chorizo.
"El perro" se ha comido mis apuntes
¿Y no se les ha ido la mano como en la frontera?
-Profesor, necesito aprobar.
+Haber estudidado más
-No me has entendido...NE-CE-SI-TO APROBAR (sacando arma y apuntando al profesor).
Muy bueno. Resulta curioso que haya una arquitecta y un diseñador viendo esos trazos...
Seguí y dimití
Pues no te digo nada si esto finalmente ocurre... jajajajaja Pokémon GO podría tener versión VR (Realidad Virtual)
De ahí viene lo de 'zurrarse la sardina'
De un altavoz de esos que llevan los latinos a todo rabo, en todos lados
HIJODELAGRANPUTA o integrante de HSM, que es casi lo mismo
#15 iba a poner lo mismo, pero con "DEP" al final, para ahorrarme los negativos 😁
¿Venezolano de Venezuela o de España?
#155 ¿en el mercado negro o en el viernes negro?