Detectan graves fallos de seguridad en su sitio web

Un error en el formulario de ingreso al sitio permitía entrar a datos de legatario, contraseñas y hasta a números de tarjetas de crédito.

Una semana posteriormente de conocida la “criptomoneda” Bitcheke, el esquema sigue generando dudas y cuestionamientos, ahora a raíz de graves fallos de seguridad en su plataforma web.

Los errores fueron descubiertos por usuarios y publicados en una entrada en Telegra.ph. En dicho reporte, se especifica que la colchoneta de datos no estaba protegida como corresponde y que los datos de legatario estaban almacenados en texto plano. Esos datos incluyen correos electrónicos, contraseñas y números de tarjetas de crédito.

Pero lo peor no era eso, sino que el formulario de inicio de sesión del sitio permitía ingresar a través de un error esencial que “no cometería ni un estudiante de programación”, según el autor:

El formulario de inicio de sesión de la página Invest Bitcheke (Y en ingenuidad, todos los formularios de las plataformas de bitcheke) permiten realizar inyecciones SQL. Esto en la maña significa que si pones de nombre de legatario, textualmente, ‘ or ‘1’ = ‘1 y cualquier contraseña, puedes entrar como el primer legatario de la plataforma (José Cortese), ver a TODOS los inversionistas de ésta, descargar sus datos personales y asignar tokens de inversión a la persona que desees.

Los grupos de Telegram de Bitcheke

Existe en Telegram un comunidad llamado Bitcheke Crypto, el cual es franco y al que cualquiera puede ingresar. Originalmente, el comunidad se inició para reunir a inversionistas e interesados en el esquema, sin confiscación y a raíz de las informaciones surgidas sobre la fiabilidad de la criptomoneda, la conversación se desperfiló en parte, gracias a trolls pero incluso porque los cuestionamientos comenzaron a poner incómodos a los responsables.

Por lo tanto, la posibilidad fue crear un comunidad nuevo y privado, donde solo pudieran participar (mediante invitación) quienes no cuestionen a Bitcheke como plataforma. Este comunidad se apasionamiento BITCHEKE INVERSIÓN.

En ese comunidad adicionalmente se iba informando a los usuarios respecto a una sección tipo FAQ en la cual se responderían las preguntas más recurrentes sobre el esquema. Esto fue anunciado hace un tiempo pero hasta ahora, una semana posteriormente, el FAQ brilla por su abandono (pese a que se promete para hoy 1 de febrero).

Afortunadamente, pudimos conseguir un camino al borrador de ese FAQ mediante un Pastebin, el cual data de hace varios días. Habrá que hacer comparaciones cuando salga la interpretación definitiva.

Personas cercanas al comunidad “núcleo” de Bitcheke nos han comentado que las inversiones de algunos particulares suman varios millones de pesos, por lo cual se entiende tanto la defensa corporativa como la presión cerca de el “Team Bitcheke” para que entregue respuestas lo antaño posible.

Sin confiscación, cerca de mencionar que varias de esas respuestas debieron suceder estado desde un principio y no aparecer solo porque usuarios hicieron preguntas. De la misma guisa, Luis Camus (la persona detrás de la idea de Bitcheke) indicó que las vulnerabilidades del sitio web fueron avisadas por su ISP, pero la pregunta es: ¿desde cuándo un ISP se dedica a avisar sobre errores de seguridad en un sitio particular?

Por ahora, el caso de Bitcheke sigue en la palestra hasta que sus responsables puedan demostrar de forma coherente que lo que hay detrás es sólido. Eso todavía no sucede y si perfectamente no podemos quitarle el beneficio de la duda, queda la impresión de que cada vez que el Team Bitcheke dice poco, enreda aún más la situación.

Es de esperar que la muchedumbre que invirtió monises en esto no pierda nulo. Hay que creerle a Franco Parisi.


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales