epespad

Hackean la web Becas Progresar

Hola gente. Perdonen el crap! Chusmeando por la web de las becas progresar ingresé mi usuario y mi clave y me salto una alerta de javascript:


Hackean la web Becas Progresar


Tal fue la sorpresa que me puse a investigar el backdoor de donde hubiesen podido entrar los "hackers"

Fue entonces que cierro mi sesión e intento acceder desde el login haciendo una inyección SQL muy básica que consiste en truncar el chequeo de contraseña en la consulta a la base de datos.


Gobierno


Grata fue mi sorpresa al constatar de que los "desarrolladores" no desarrollaron algun tipo de seguridad sabiendo que miles de personas iban a ingresar sus datos en la base de datos.

Para los que todavia no entienden la magnitud del hecho, es posible averiguar los datos de cualquier persona la cual sepamos que está registrada en el programa de becas.

Y eso no es todo. Husmeando por ahi descubri esto:


hackeo

becas


El post va a quedar pendiente de actualización. Cualquier cosa que encuentre lo voy a avisar por aca. Aparentemente esto sucedió hoy.


ACLARACION:
EL POST ES CON MOTIVO DE INFORMAR A LAS AUTORIDADES O RESPONSABLES DEL MANTENIMIENTO SOBRE EL ERROR. LA PAGINA YA ESTÁ CAIDA. QUIERO CREER QUE ES PORQUE YA SE DIERON CUENTA

Comentarios Destacados

TurbinAlee +175
Ay q ser hijo de puta para hackear eso solo nos cagan la vida a los estudiantes que necesitamos esas becas.
franconestasio +1
@TurbinAlee eso me paso por boludo y no poder decidirme a tiempo, deje que me metan muchas boludeces en la cabeza . igual no se habren las inscripciones a mitad de año?
TurbinAlee +1
@franconestasio
En octubre se abren creo
ThePezhi +1
@TurbinAlee exitos wachin persevere
TrollacioGabay +145
que inoperantes, UNA INYECCION SQL EN UN LOG IN ES UNA VULNERABILIDAD QUE ERA EXPLOTADA 10 AÑOS ATRAS LA PUTA QUE LOS PARIO
identidadoculta
@CasiqueCasimiro hacer un orm propio es mas croto aún. Cualquier orm decente te lo garantiza mientras no hagas raw querys sin limpieza
CasiqueCasimiro
@identidadoculta si programas bien, tener un orm no es croto. donde trabajo en algunos proyectos usamos un orm propio de la empresa, en otros EF, varios amigos que trabajan otros lados también tienen sus propios orm.
-Slam- +3
Trabaje para gobierno y los que hacen esas paginas siempre son empresas tercerías que te hacen la pagina en 4 meses + 2 de análisis y requerimiento, que podes esperar contratan a pibes de 18 años que no saben que es SQL Injector, y hacen las paginas como lo vieron en un tutorial de un mexicano, que esta bien por lo que le garpan es justo.
A mi me tocaba darle soporte y mantenimiento a esas paginas el 80% había que tirarla y hacerla de nuevo, por ende contratar otra 3era $$$

89 comentarios - Hackean la web Becas Progresar

bluee -28
Ponele que queres estudiar maquillaje para mujeres , una carrera corta, ¿ te la dan igual a la beca ?
elpibe14
@Masterrr1 eso es exactamente lo que te digo.. si sos universitario hasta los tenes becas..
Masterrr1
@elpibe14 me cansé a ver si con esto te rendís
https://www.argentina.gob.ar/becasprogresar/educacionsuperior
Masterrr1
@elpibe14 ahhh puede ser q tengas razón, salu2
Guns_Case +7
Fa boludo, mal, acabo de ingresar para ver como iba la solicitud que ingrese hace una semana y mis datos personales estan todos para el carajo, solo el mail se salvo y el usuario
Saike27 +1
@zonadober Si capo, pero una página gubernamental no puede ser un hazme reír por el ataque de un lammer virgo.
zonadober
@Saike27 En eso si estoy de acuerdo, pero que se puede esperar de un lugar donde esta lleno de ñoquis...
Saike27
@zonadober Y de por sí la accesibilidad y usabilidad de las páginas de este tipo ya son un desastre
Lelale +44
NAH! SQL Injection le hicieron en el login!

Enserio, que falta de profesionalismo!
Lelale
@IntelOficial Bueno, antes de ayer lo hackearon a Tonelli.
No me sorprendería que haya mas de estas vulnerabilidades.
Lo mas probable es que hayan cobrado sus buenos morlacos por esta porquería.
LgsMaverickPuraJ
@TrollacioGabay "ni un pibe de secundaria te manda un formulario de login por get", estoy en secundaria especializada en programación y la verdad nos enseñaron mandar un formulario con get pero cosas básicas y para datos sensibles un post, todo en php ya me parecia demasiado facil ja.
Lelale +1
@LgsMaverickPuraJ JA! obvio!
Pasa que es hoy en día tan básico esto que viendo el error, no me sorprendería jajaja
machinga22 -10

link: https://www.youtube.com/watch?v=Dynr8dVCAqg
Giiannluucaa +15
hoy traté de inscribirme y noté lo mismo. Tan dificil es conseguir buenos programadores? Pregunto
Aler1953 +10
si pero minimo 10 años de experiencia y no mayor a 25 años.
GorilaNoPlanero +5
están todos en taringa
-Slam-
las paginas de gobierno son tercerizadas, ni hablar que las empresas que acceden son todas una mierda, consultoras explotadoras, dudo que alguien por 2p se gaste en hacerla bien.
Yo estuve como developer para gobierno y venían las paginas y eran un desastre.
HERNANMD +43
"FALTA DE ETICA Y PROFECIONALISMO..."

SQL Injection
Guns_Case +4
xD uno comenta rapido como si estuviera hablando en persona y pasan esas cosas jaja
alanmar +3
Sumale "los voy a dibulgar"
Pincho28
Pero hay que ser tan pelotudo como para meterse a esas paginas. Tenes que ponerte un VPN haciendo que los hackers y el gobierno no puedan ver tu info
@clon_de_eze
ZizouCraperou +24
jijo de buta ahora me llamo barrios y soy mujer
Guns_Case +14
Yo soy Rios xD todos nos llamamos Nadie no?
elpibe14
@Guns_Case yo llegue tarde a la info y ahora esta en mantenimiento ... no se como es mi nombre u.u
GustavoBou23
donde ves estos datos que fueron hackeados?
catilaloca +30
bue , no es ninguna noticia, esto es Argentina, la tierra de átalo con alambre
Federick-Rones +5
@stm32 "Profecionales" señores acá encontramos al hacker
stm32 -1
@Federick-Rones tengo el redactor en ingles, no tengo razon para escribir formal aca, si lo ameritan si, pero son un desastre
nefroxx10 +1
@stm32 que vas a tener el redactor en ingles pedazo de virgo, no sabes que se escribe con s
Menducoide +19
Osea q si le agregas un truncate table alumnos colalpsa todo q locura
allan87 +15
drop database
lazdelzorro +4
espero que no le hallan dado todos los privilegios al user de la base de datos
-Slam- +2
@lazdelzorro no los subestimes
TrollacioGabay -2
Array ( [0] => Array ( [0] => 22001 [SQLSTATE] => 22001 => 8152 [code] => 8152 => [ODBC Driver 13 for SQL Server][SQL Server]Los datos de cadena o binarios se truncarían. => [ODBC Driver 13 for SQL Server][SQL Server]Los datos de cadena o binarios se truncarían. ) => Array ( [0] => 01000 [SQLSTATE] => 01000 => 3621 [code] => 3621 => [ODBC Driver 13 for SQL Server][SQL Server]Se terminó la instrucción. => [ODBC Driver 13 for SQL Server][SQL Server]Se terminó la instrucción. ) ) Error: 1
Aidenn +21
a mi en un sistema me hicieron algo similar... le mandaron un ´or´ ´=´ por suerte el tipo me mandó un mail avisandome y me dijo como solucionarlo, un capo
Maxrbr
@Aidenn Tiene bastante sentido.

oye, eres programador hace mucho?
Aidenn +1
@Maxrbr hice una tecnicatura en informatica, mas orientada a sistemas, pero vimos algo de programación, pero no a un nivel avanzado (por ej de JS, PHP, manejo de servidores, etc no vimos nada)... me recibí a fines del 2014. fuera de eso, he armado un par de sistemas en .NET con SQL Server
Maxrbr +1
@Aidenn ok. Sobre lo de arriba si no has revisado la documentacion sobre .NET deberías hacerlo, tal vez encuentres algo.

Gracias por los datos.
Pincho28
Todas las paginas del gobierno son Vulnerables

Tengo un primo que quizo meter informacion de la netbook del gobierno al final la pagina no se veia prometedora. por lo que dijimos que no.

Yo creo que tenes que llamarlos putearlos por los vagos que son.
Primero los programadores que estan ahi solo hacen el trabajo facil y listo se van ala mierda.

Si queres hackealos te dejo el link
Drakegreenn +50
che pero hay que ser un virgo infeliz para ponerse a hackear eso dios mio
elbotanico12
@GustavoBou23 son lances, acusan "errores" y "problemas", pero solo se hacen los giles para ver cual es el impacto. Y en base a eso evaluar un recorte o medida.
Si no encuentran al culpable estoy seguro de que no existe, y que solo estan buscando la forma de cagarse en los estudiantes.
GustavoBou23 +1
@elbotanico12 yo apenas me pasó esto lo primero que sospeché es que estaban recortando planes, imaginate que como me hicieron a mi, se lo hicieron a otros 10000 mas ponele, y de esos 10000 solo fuimos a renovar el plan 5000, ahi ya tienen 5000 planes menos
elbotanico12
@GustavoBou23 claro, esa es la idea. Lo hacen todo el tiempo, y con todo. Es para evaluar el enojo o no de la población, si no hay muchos reclamos ellos van a recortar mas, y mas, y mas, hasta que todos se enojen.
Para cuando ellos se hagan los buenos y sensibles y admitan estar equivocados, ya quedaron muchos sin progresar.
Siempre ganan.
Repito, si no aparece un culpable es porque no existe, los proximos dias veremos.
_Pepelui85_ +27
que sistema de mierda de respuestas que tienen, ponen un bot super pedorro, Hotaru y Kari le dan mil vueltas
Bienvenido +4
O
TheCervecero +2
R
Semilie +7
A

K
U
R
O
N
E
K
O

progresar
Vinnu -2
Si hackearon eso seguro hackean Toronja de vuelta
TrollacioGabay -1
NO TIENEN PROTECCION CONTRA XSS LOS INOPERANTES ESTOS
Guns_Case
Che, hay que acomodar todo de nuevo o se solucionara?
Guns_Case
ah igual que boludo jaja, mientras ya tengas la solicitud enviada supongo que zafamos
soi_braian +1
naaa que ql ya no se puede confiar en nada
steam_ +38
3 doritos después

Hackean la web Becas Progresar
RokerL +34
que pagina de mierda, que te caguen el backend con una inyección sql es lo mas humillante que te puede pasar, y tiene razon, falta de profesionalismo y de todo, si cualquier burro le vende la tecnologia al gobierno, y es la misma gente que queria emplear el voto electronico escrito en python
afi336 +4
@Expertoencrap Que loco, en otros paises te dan laburo si haces algo asi
zevoo +2
y encima se les "perdió" un cd con toda la documentacion de las maquinas de votacion de Salta (codigo fuente incluido)
stm32 +1
@Expertoencrap es muy facil hackear eso, todo queda en la ram, tiene 3 particiones donde se almacenan diferentes datos, 2 son variables y uno estatico, toda la info de los que votaron estan en el estatico, se puede hackear tanto durante el voto electronico o despues del voto, una mierda
atiko +12
listo ya cambié mis datos por Cosme Fulanito
gonzalolog
No te sorprendas si te denuncia el estado, tanto te costaba enviar un mail y conseguir merito propio? Ponerlo en tu curriculum? Ser mas que un pelotudo que abuso una vulnerabilidad en una pagina del estado?
thehachez
@TrollacioGabay seria XSS si el tipo explotara la vulnerabilidad de la inyección de sql agregando algún script en trablas, para cuando el usuario realice una solicitud de datos, al recurso determinado este responda con el string que contiene el script, así cuando llega el DOM lo interpreta y lo ejecuta con javascript, haciendo que todos los usuarios de la plataforma se vean afectados, se la dejaron barata quizás por falta de conocimientos
TrollacioGabay
@thehachez tiene xss pq podes meter javascript en los textbox
kabuza_crap +25
¿quien desarollo la pagina, los mismos que taringa?
AbajoLaMerlusa
@Expertoencrap Plus que si haces enojar a los de moderación, te tiran las medialunas

No la contas dos veces
Larylucky
@riririririririr Es tan vulnerable T! como Identi
Andy_mex
@DryMisty @larylucky osea taringa es difcil hackearla?
cortegil +4
A mi me tira desde que quise entrar que la contraseña no es correcta, ya probé con todas las que podría haber puesto aunque esté seguro de una. Y el mail para recuperar no te lo envian.
KEN0001 -2
A la novia de mi hermano le pasa lo mismo hace como una semana
yango18
estan averiguando como mandar mail desde el servidor para recuperar claves... igualmente hace lo que hizo le pibe, pone tu mail e inyectale la clave. Total va a traer true por el mail y eso machea el resto
reimon +1
@KEN0001 :@
riririririririr +8
Van a tener que cambiar su clave fiscal hahahaha
soi_braian
como?que'por?:O
porux +1
Y el logo, porque parece que lo diseñó herni
PeasantLaburante +12
Excusa para entregarle el desarrollo de la web a los expertos en ciberseguridad del estado de Israel
GordaResentida +15
Yo te denuncio. Anda preparandote q te llega asuntos internos.
Craperoide
Ambos tienen razon


Pd: le doy
GordaResentida
@yango18 no recuerdo a ver puesto algo ahi
Fedenix
hackeo
lordale_1997 +3
La pagina Trabajo en Red debe ser igual, esta horriblemente hecha, un desastre. Ahí la gente sube toda su información personal, estarán en riesgo?
genbay +17
Que carajo habrán contratado, a mi si me llaman para desarrollar un sistema para el gobierno y no sé de seguridad , MÍNIMO sugiero que contraten uno que sepa o ni lo hago, es cuestión de dignidad ya
SurfacinGG +1
Dignidad vendiéndole un servicio al gobierno? Si hay bocha de hdps que aprovechan exactamente eso para garrapatear y si encima tenés chantunes haciendo la licitación (ponele)
Piolasaurio999 +44
TENIA POCA SEGURIDAD ESO PASA POR ACOMODAR GENTE Y NO PONER GENTE POR CAPACIDAD,
iavenlex +2
@locheto yo digo que si hay buenos programadores , pero por cosa de presupuesto seguro contratan a lo mas barato y con menos experiencia y calidad
IvanScoles
@Litecoin tal cual, o los tienen becados, como dijo @yango18 hoy el rubo es caro si queres programadores que realmente valoren su trabajo
-Slam-
@Litecoin labure con gobierno como desarrollador, pocas cosas paginas se hacen ahí, todo se terceriza con empresas bastantes malas por cierto.
TrollacioYuichi
Que hdps!!!
Afectara a las solicitudes enviadas ya???????
TrollacioYuichi +3
@clon_de_eze Espero que no che.
Acabo de entrar y tengo todos los datos cambiados!!!
soi_braian +2
@TrollacioYuichi si rompieron algo no se podría volver a cargar? aunque teniendo en cuenta la seguridad valla a saber si hacían backups jaja
GustavoBou23
@TrollacioYuichi en donde ves que cambiaron tus datos? yo para ver si los mios siguen bien
Saonel +16
pero la pagina gaysactivos.com esta bien?
-Flight956- +26
si, yo la uso siempre, salu2
amigoqwerty +2
uff zafé, ayer estuve averiguando, hoy no inicié sesión todavía. Pero que pelotudos estos tipos che.
Federick-Rones
No tiene nada que ver. Si accedieron a la BD, o la borraron, todos los que no cobramos las 10 cuotas estamos al horno
amigoqwerty +1
aparentemente tiraron la pag. para solucionarlo? ni idea, pero no carga
https://servicioscorp.anses.gob.ar/clavelogon/logon.aspx?system=progresar2
TrollacioYuichi +5
Espero que para solucionar y no hayan cagado la base de datos o algo jajaja. Que hijos de remil puta que son
CordobesDeformit +6
y bueno que se puede esperar de programadores mal pagados.
Speel +7
Un forro el kaker, espero que le avise a la vieja que no se asuste que antes de que termine la semana le cae gendarmeria a la casa y se los violan
nico--DyJ +10
1- que burros mamita, se nota que le ponen poco presupuesto a las cosas
2- el otro dia le hackearon el mail y twitter a un funcionario que esta a favor del voto electronico, para mi que estos hackeos son para protestar sobre el asunto
Darminix +1
Hola. Yo tengo mis datos metido ahi hace un año. Hace rato que no inicio sesion. Alguien puede saber la contraseña de la cuenta? Disculpen que no entiendo nada.
Federick-Rones +1
No pasa mada. Quedate tranquilo. Como mucho cambia la contraseña del gmail si usas la misma
Darminix +1
@Federick-Rones ahh gracias!
gonzalolog +3
Lo mismo altos pelotudos, te das cuenta que son re acomodados porque son todos de privadas, ese aspx quien te prefiere papaaaaaAAAA
EzequielForza +9
no entiendo un carajo, salu2
juanbustos28
yo tambien y me gustaria entender :c
Federick-Rones
Habian cambiado el nombre de todos por nadie. Luego alguien (que puede ser el mismo para dar "miedo" agrego un script alert (" borren sus datos personales , estan en peligro"
afi336 +6
Che pero ahora no le va a caer todo el peso de la ley por "terrorismo"?? jajaja ya hemos visto como actúa este gobierno con el tema de los delitos informáticos...
elbotanico12 +1
Si agarran al hacker les creo. Mientras no aparezca un culpable con nombre y apellido no les creo nada, de seguro quieren cargarse en los estudiantes y se hacen los boludos.
Sanguchito_Miga +7
lo digo siempre usen plataformas conocidas como worpress, joomla etc para hacer las web grandes no usen desarrollados por una empresa chicas o por un tipo, si todo bien que sepan hacer todo desde 0 pero estamos hablando de plataformas que tienen años y un equipo de desarrollo grande y con mucha exp en seguridad, aqui no es motivo de que es mas facil usar lo otro sino la seguridad wordpress y joomla se actualizan a cada rato
NinioKozmiko
@Sanguchito_Miga o sea que ningún framework de desarrollo es tan seguro como el wix ese? es muy fuerte lo que estás diciendo :v
Sanguchito_Miga
@NinioKozmiko es que no es el framework es el equipo en wix labura mucha gente muchos programadores, si vos haces una pagina desde 0 solo y no tenes experiencia vas a tener un monton de vulnerabilidades vos vas a decir que no pero otros van a encontrar muchas, es difícil hackear una pagina de wix se le cagan de risa todos pero no saben el laburo que tiene por detrás todos eso al igual que las demás tecnologías, un ejemplo taringa
Sanguchito_Miga
@NinioKozmiko para que taringa sea la de ahora tuvo que pasar años de desarrollo ellos y su equipo ya tienen un experiencia de lo que es su pagina y las vulnerabilidades que tiene, y así van corrigiendo y adquiriendo conocimiento del mismo y mejorando, taringa ya sabe como implementar su plataforma y asi también tiene un montón de equipo
MegaXB11 +9
En vez de hackearla por que no avisaba y por ahi le daban laburo? Que datos tan importantes pudo haber sacado mas que la info personal? Encima la pagina era para los pibes que estudian
Lekays
@dejadehinchar por suerte la web ya dice "EN MANTENIMIENTO"
MegaXB11
@Orkidea- yo no haria nada, por eso pregunto
-Slam-
@dejadehinchar la pifiaste, los peor pagos son los colombianos, que laburan 9+1 horas y cobran la mitad, por que te pensás que tantas empresas se están yendo para allá?
Acá lo que hacen es contratar Juniors por 18 lucas y venderlos como Senior para así abaratar costos, aumentar las ganancias y los resultados, bueno ahí están...
brakdag2 +1
podrían haber usado una google sheet que tiene más seguridad que eso xD