VIE. 21 ENE. 2011

Cómo Hackeé iWiks En 10 Minutos El Día De Lanzamiento

Actualización: Yo no tiré el sitio. Sólo accesé a una cuenta. Ofrezco servicios de consultoría de seguridad. Si tuviera algo qué esconder, no lo publicaría en mi blog. Síganme en twitter @faelazo y contáctenme para dar una conferencia si están interesados en temas de seguridad, Internet y marketing.

Al parecer el hecho de ser mexicano te hace popular. Me he encontrado mucho de ese tipo de genios que se les ocurre una brillante idea: un [sitio popular], pero mexicano. Como si la nacionalidad fuera una ventaja competitiva. En algunos casos lo es, pero resulta muy difícil convencer a la gente de esto.
Pero así como tú, sabio lector, tanto como yo, sabíamos que un día esto iba a llegar. Un grupo de chavos de Tijuana crearon una red social que se llama iwiks y han logrado hacer un buen trabajo levantando el hype y diciendo que va a ser toda una revolución.

Desgraciadamente, la mejor calificación que le podría dar al proyecto es amateur motivado. Muchas cosas están hechas mal, aunque de alguna forma sacaron el proyecto. Pero no les durará mucho así. En este post explicaré paso por paso cómo hackear la red social. A ver hasta dónde llegamos.

Después del registro y una simple prueba, veo que el sitio es propenso a Cross Site Scripting. Tienen algunos filtros de HTML (o eso parece), pero son fácilmente sorteables:

<script>alert('therror.com rocks');//</scr</script>ipt>  

Esto tiene un potencial casi infinito, pero no encuentro cómo agregar amigos, y si no hay otros usuarios, me voy a terminar hackeando yo solo. Y eso no es divertido. Así que hay que encontrar otra forma. Examinando un poco, mi imagen de perfil se ve un poco distorsionada y además es pesada. Las de los status también. Podría ser que están convirtiéndola a BMP y redimensionándolas tipo pixel-perfect. O simplemente las están redimensionando con HTML. Le doy click derecho, ver imagen y es cierto. Mi imagen está tal y como la subí.

Anteriormente descubrí que están utilizando CakePHP. Más adelante vamos a explotar esto. Por lo pronto, vamos a ver si podemos accesar al listado del directorio dejando la URL así: http://www.iwiks.com/files/ lo que nos redirige a http://www.iwiks.com/app/webroot/files y con este, el listado.

Cada una de las carpetas es el ID del usuario, dentro de estas hay las fotos que han cargado. Puedo controlar mi privacidad en iwiks? Seguro que sí. Hasta abajo hay algunos archivos incluídas las fotos de algunos de los fundadores.. o algo así. Ahora, no conozco a Pablo, que es a quien vi en el primer video que encontré, pero con ordenar por fecha encuentro el identificador de Quetzi (4d3012a0-9880-4974-b402-1370580d0480) con una foto de su perfil adentro. Seguro debe ser administradora.

No quiero ocasionar demasiados problemas, así que omitiré lo que hice aquí. Pero si saben un poco de cómo funciona CakePHP, podrán hacerlo. Teniendo el ID de Quetzi, resulta sencillo registrarse como ella.

Y mandarle un mensaje a Pablo.

La verdad fueron sólo algunos minutos los que tardé en hacer esto. No encontré un panel de administración en mis primeros intentos, probablemente no lo tengan. Desconozco si el resto de la aplicación tenga vulnerabilidades, pero no lo dudo. Me parece increíble que la gente innove, realmente hacer una red social es mucho trabajo, pero si aspiran a sobrevivir deben entregar un producto de mucha más calidad. Seth Godin menciona la regla de las 10 veces. Si quieren competir contra twitter o Facebook, iwiks debe ser por lo menos 10 veces mejor; no 10 veces más mexicano.

Si necesitan consultoría, estoy disponible e interesado. Aunque creo que no la aceptarían. En las entrevistas que he visto se ven muy seguros y orgullosos de su trabajo. No sé si reír o llorar al ver que tardaron 2 años en hacer esto y se les cayó en poco más de 12 horas. Si no probaron exhaustivamente su aplicación para las fallas más comunes, cómo esperaban sobrevivir?
Sólo una nota más: minimalista no tiene nada que ver con feo. El rato que la pude ver, el diseño era horrible, de simplista tenía mucho, de minimalista, nada; básicamente hay 3 timelines que no se distinguen las diferencias.

En fin, además de aumentar la seguridad, deberían dejar de experimentar con el home, contratar a un diseñador, mejorar el código HTML, implementar AJAX, comprimir las imagenes y enfocarse mucho a la experiencia de usuario.
Nadie triunfa por ser mexicano, o gringo o francés. Triunfan por chingones.

Cómo Hackeé iWiks En 10 Minutos El Día De Lanzamiento fue escrito por @rafael_soto_ el día viernes 21 de enero de 2011 a las 3:47 p. m.

Este post fue etiquetado: hacker web social México artículos

19 años haciendo sitios web

Sabemos una o dos cosas acerca de cómo posicionar tu negocio en internet. Hablemos.

Comentarios

#1 eleefece (21/1/2011 @ 5:30 p. m.)

Estuvo muy “in your face!!!” la demostración, pero supongo que para un fallo así de grave no hay mejor forma de hacerlo evidente.

Le deseo a la gente de iwiks la mejor de la suerte.

Saludos.

#2 ricardodrosales (21/1/2011 @ 6:10 p. m.)

Bien Hecho, rifaste!

#3 aka_m_1 (22/1/2011 @ 2:37 a. m.)

Muy bueno tu post!!
Saludos a todos , mi opinion al ver tal blog por si les interesa es este:

Yo no es que desprecie el ser mexicano , pero no me enorgullezco casi ne nada aveces por un simple logro festejamos como si fuéramos superiores y lo peor es que la mayoría se lo cree, pero hay veces en que las personas se “emocionan” simplemente por el echo de este país y olvidan la calidad que se entrega a un trabajo, mal intento por ambicionar un proyecto tan grande esperando superar expectativas y fracasando a la primera , el mayor numero de pre-registros 55000 personas se convirtió en el proyecto de mayor fracaso , y con 55mil testigos j, no se si reírme o ver cuanto nos falta por aprender, me parece buena tu critica para mi de lo mejor que hay , todavía te tomas la molestia de explicar eso da buena imagen de ti , te deberían de llamar como a mucha gente a participar en el proyecto olvidándose de sus beneficios o “fama” personal, muy mal sabor de boca .

En cambio así como tu ofreces ayudar a ellos a mejorar el servicio y no crees que lo hagan , a mi me gustaría aprender mas de lo poquito que se XD por el simple echo de aprender, si ellos no quieren aprender yo si =) bueno saludos creo que felicitarte esta de mas.

Nota: Donde te dejo mis 10 pts?
***** (5stars ) ;)

#4 rafael_soto_ (22/1/2011 @ 6:44 a. m.)

ay wey, harto comentario. a ver, por partes.

Gonzalo, en realidad lo que hice no fue cambiar sesiones, esas son más seguras. y sí, myspace tuvo problemas de XSS, pero hacían muy buenos intentos por pasarse los filtros (momby.livejournal.com)

Nox, jeje, gracias.

jgalicia, e hicieron bien. hay mucho por replantear.

adriannetwork, sí, ese Seth es una de las voces más importantes, al menos para mí.

Lord Zero, sí, a cualquiera le puede pasar, pero cuando aspiras a tanto, cuando el hype que levantaste llega a tal nivel, no tienes que decepcionar. te creo si es tu primera aplicación… pero si esta es una rés social, al menos tiene que haber sido validada en SQL injection y XSS.

Navegando, jaja, yes, that would be me. en realidad quería hacer un worm. y el nombre clave de cada uno de era el de mis proyectos. y resultó que el de ropero llegó, y los otros no.

Webman, en realidad mucha gente lo estuvo haciendo, yo sólo escribí el tutorial, jeje.

Jluisfg, y es una característica defendible, pero no es factor de diferencia. es como cuando nos dicen que apoyemos a la industria mexicana, pero porqué si es de menor calidad? sólo por apoyarla? debe tener bases. sin embargo, tenemos que apoyer a la selección, ahí si no hay competencia, a menos que tengas dos nacionalidades.

eleefece, yo también, es muy interesante el proyecto pero falta concretar muchas cosas.

Eduardo, yo apenas me enteré ayer a las 10 am. eso de las redes sociales no es lo mío.

ricardorosales, jeje, leve, leve.

Dr. Bizarre, hey, me llamo rafael, therror es el blog. pero gracias, saludos.

Angel, uh? porqué discriminar por su lugar de nacimiento? digo, te pueden caer mal por muchas cosas, pero no porque son de x o y lugar..

Mich, ah si, sorry bro. es para mantener la conversación leíble y en cierta forma cuerda.

black, difícilmente. facebook es la compañía en la que todos quieren trabajar, crees que gente como tú y yo podríamos hacerlo mejor? y luego sin dinero? yo creo que hay que hacerlo diferente. luchar directamente es imposible, luchar en otros frentes podría ser posible.

menio, y muy bueno, porqué no? creo que lo que faltaba era inspiración. ahora falta ganas de hacer bien las cosas.

Kermidor, jaja, no, a mi no me suena a eso. pero para ser noticia necesita mucho más que eso.

Ulises, yo también vivo en frontera —desgraciadamente— y me parece muy bien que imitemos algunos de lo que los gringos hacen bien. necesitamos una cuna de startups. parece que está surgiendo en guadalajara, espero algún día podramos vivir de productos digitales que mejoren la vida de las personas.

Karlos, señores, este tipo ha dicho paso por paso qué hacer. de hecho me dan ganas de trabajar avec toi.

andrez, pues.. sí. pero para triunfar es necesario caerse muchas veces. si lo saben aprovechar, aprenderán mucho más.

jorge, saludos!

Osuka42, ah no, al contrario. estos son errores muy básicos, intenté un montón de cosas extra. fui yo el que escribió el tutorial, es todo. lo que si es que no sé si la cuenta de admin:admin era realmente de administrador. digo, cualquiera pudo registrarla. y eso es juakeo, cuando mucho.

nadie007, sí, el punto de esto es no rendirse.

Juan, no sé qué tan cierto sea eso, pero les estaban machacando el servidor y en realidad nada servía, así que aunque siguiera vivo, hay muchas cosas qué replantear.

isaias2236, pues a darle, ponte a estudiar tecnologías web. saludos.

Ronie, jeje, porqué? afortunadamente la masificación de las herramientas nos permiten a prácticamente todos tener acceso a este tipo de tecnologías. no necesitas x carrera para hacer una red social, imho.

JesusSuarez, gracias bro. pero hay mucho que seguir aprendiendo.

aka_m_1, wow, gracias por las flores. como dije, es difícil meterse atrás del escudo de “es que es mexicano”. si facebook y twitter estuvieran aún en inglés… tal vez podría ser defendible, pero como no ya están traducidos, me parece difícil. como lo menciono, creo que un producto debe ser 10 veces mejor que la competencia para realmente sobresalir.
si estás en una universidad, o en tu trabajo llevan a speakers, imparto conferencias gratis: (www.therror.com)

rymd, un proyecto así? daban ayuda a los que menos tenían? por dios, es una rés social, donde se crean amistades de gente que ni te acuerdas. además, lo que hice no fue tan grande. luego, si no lo hacía yo, lo iba a hacer alguien más —y muchos lo hicieron— y por último, yo no tiré el sitio.

tk rocks, cierto, eso de las ventas no lo había pensado. pero es parte de lo que menciono arriba, se necesita una planeación de producto. no coincido contigo con que sean de lana o no, ellos pusieron mucho tiempo, lástima que no haya sido tan provechoso. y eso es muy bueno al menos para mí.

meltersalker, eh? qué tiene que ver creative commons “distribúyelo con lo que quieras” con el 11vo mandamiento de “no hackearás”? son cosas muy diferentes y, al contrario, estoy liberando esta información para que cualquiera que quiera aprender, enseñar o transmitir (o simplemente copi-pastear), lo haga sin tener que pedirme permiso. y si no lo hacía yo, lo iba a hacer alguien más. y alguien más lo hizo, sólo que yo di la cara al publicar cómo lo hice. saludos.

#5 ivanph (22/1/2011 @ 1:31 p. m.)

En Azteca acaba de pasar un reportaje donde los de iwiks se lavan las manos y te ponen de villano, por saboter el esfuerzo de 2 años de jóvenes mexicanos. Hasta de bloquear el acceso al sitio te acusan, aguas y te mandan a la polecia cibernética XD. Saludos.

#6 rafael_soto_ (22/1/2011 @ 3:29 p. m.)

bueno, salimos en tvazteca. y yo soy el malo de la película.

yo no tiré el sitio, ya al final seguramente no aguantó y no tenía caso estar aguantándolo con tantos defectos.
yo lo único que hice fue acceder una cuenta. y un worm que no salió. es todo.

ahora, estimados, si van a estar poniendo puras estupideces en los comentarios, voy a borrarlos. así que van a perder su tiempo, por favor absténganse. esto no es youtube.

y no le crean a la pinche tele, por una vez en sus vidas.

#7 brendachiquito (23/1/2011 @ 11:51 a. m.)

A todos los que han dicho algo parecido: México no está «como está» por gente como Rafa que les muestra sus errores, sino por gente que lanza al mercado un producto mediocre, sin antes probarlo.

La inteción no era joder, los jodió porque ellos no estaban preparados.

#8 brendachiquito (24/1/2011 @ 2:45 p. m.)

@Sandra… jaja, se nota que tú eres una de esas tantas que llegaron por google o algún otro blog.

Los que tenemos mucho tiempo siguiendo a Therror reconocemos su calidad y la de su autor, de la misma manera que conocemos las razones por las que en algún momento Rafa a disminuído la cantidad de post enfocados a lo que él sabe hacer bien.

Y si realmente le echaras un vistazo al blog, te darías cuenta que no solo no es el único, sino que está muy lejos de ser su post más popular.

A mi me da pena la gente como tú, llega a aquí insultando, acusando y juzgando, sin fundamento alguno.

#9 Axotla (25/1/2011 @ 3:39 p. m.)

Saludos Señor:
Tal vez pueda no estar de acuerdo con la forma en la que vulneraste el sitio, pero considero que es mas importante que estos errores se reparen antes de que se den datos mas sensibles. Personalmente no me importa que formación tengas, o a que escuela, lo que hiciste y tus comentarios me hacen pensar que debo y necesito conseguir asesoría de seguridad antes de lanzar un sitio, eso es lo que debemos aprender todos de esto.

Como Mexicanos tenemos que quitarnos el Nacionalismo pendejo, aquel que dice “Es Mexicano, debes usarlo por ser Mexicano” y que cuando analizas, y señalas las debilidades te dice “No me apoyas, Mexicano Jode Mexicano” … Eso que? no mamen, neta. Nuestro País necesita desarrollos NUEVOS, no copias de lo que ya existe, gente que aprenda de sus errores y que entienda que toda critica encierra una posibilidad de mejorar, pero bueno, no era mi intención comenzar a desvariar

Señalo también, si de verdad quieres dar asesorías, considero que tu modelo de negocio debería también ser mas profesional. Salu2

#10 victornae (25/1/2011 @ 3:42 p. m.)

Debo decir que aunque estoy de acuerdo con tu forma de pensar en muchas ocasiones mi odio hacia es grande desde que te conoci en clab.

Sin embargo eso no es motivo para dejar pasar las catastrofes de este mundo.

Creo que has hecho bien al mostrar las vulnerabilidades y decir las cosas como son, tambien recuerda que habra gente que se traga las cosas que dicen en televisión o los rumores que aparescan.

Como sea tu sigue con la calidad que llevas hasta ahora.

Recuerda que aunque te odie visito tu blog por que la verdad vale la pena. _

#11 NemoRude (25/1/2011 @ 5:35 p. m.)

“Las ganas y las intenciones no justifica nada” – anonimo
Lo vi escrito un baño de la universidad (vandalismo intelectual)

Fael eres todo un… BAD ASS xD

Oye, estaría super bien que por medio de tu blog rolaras información, bibliografia y/o datos sobre este tipo de temas, sobre seguridad informática, digo como sugerencia te lo hago llegar.

Saludos desde las nubosas calles Tijuanenses.

#12 rafael_soto_ (25/1/2011 @ 6:34 p. m.)

a este punto no voy a responderles a todos, lo siento, muchos comentarios tienen el mismo tema.

Gadi, yo no me estoy burlando de nadie. crees que me habrían hecho caso si les hubiera enviado un email? a este punto han recibido cientos, tal vez miles. muchos diciendo que son hackers. me pasarían el código fuente porque creo que hay problemas? no, hay que probarlo. eso fue lo que hice.

chokochuy, exacto, de buenas intenciones no se construye nada. esa es la clave. y sí, les estoy ofreciendo asesoría.

Gadi, genial lo del manifiesto, no lo conocía.

oscar, cierto, eso no lo había pensado. creo que se están extendiendo de más, necesitan comenzar con un producto central estable y a partir de ahí, ir desarrollando otros. lo del comercio electrónico es pretencioso a morir además de que en méxico no estamos como para poner nuestro nombre, dar nuestra dirección y decir que vendemos tal artículo. viva el gobierno del cambio.

cheff, por favor no escribas así!!

carlos, cómo? les pido el código fuente con el peligro de que se los vaya a robar? ni me hubieran pelado.

Angel, para ser experto, escribes muy mal. una vez más, cómo me van a hacer caso de que yo les puedo proveer un servicio de seguridad? como si en este país no hubiera scammers y supuestos hackers. ya cualquier idiota que sale en la tele y presenta videos se dice hacker. lo peor es que yo no lo soy, yo no soy esperto en seguridad informática, ni ingeniero en software, ni hacker. soy un tipo que aprendió a programar por su parte. y si un amateur como yo puede hacerlo, tienen un serio problema de seguridad.

deaene, err.. lo dudo.

Yuriko, ningún problema. si fuera ilegal no estaría dando la cara y cometiendo la estupidez de publicarlo en mi blog. al contrario, como dice Dano más abajo, les ahorré un buen problema legal por demandas acerca de la privacidad de sus usuarios.

Memo, y claro que me hubieran hecho caso. y me hubieran pagado de adelantado y al contado, no? de buenas intenciones no se construye nada.

Daiv, hey, saludos!

sandra, tengo 8 años escribiendo en mi blog. ha tenido momentos altos y momentos bajos. un blog no se mide por los comentarios, yo empecé escribiendo para mí mismo, me halaga que gente como tú lo lea. con diferentes puntos de vista y todo, yo sé que no tengo la verdad absoluta y estoy muy conciente de esto. es algo con lo que vivo día a día. hay posts con miles de comentarios, incluso algunos lo han agarrado de foro. disfruto que me lean, pero si nadie lo hace, me da gusto tener un ejercicio creativo, constante y diario. al menos para tenerlo archivado y leerlo en algunos años.

al tipo de las universidades: al contrario. la culpa es de los alumnos que nos hacen creer que un título, la graduación o un 10 en el exámen nos preparará. sea cual sea el campo y con especial énfasis a los que cambian cada 6 meses como es la web. las universidades aún son entes lentos y cuesta mucho estar a la vanguardia. recordemos que la escuela no hace al alumno.

Usuario081086, contáctame (therr.org)

mewtwo8, para las fallas de seguridad no había de otra. se debe replantear prácticamente todo y empezar desde cero, pero ahora bien.

netovs, no lo haré porque no fue lo que hice. y aún si lo hubiera hecho, adivinar es muy difícil; se puede hacer bruteforce o ataques de diccionario (que siguen siendo considerados hacks) o ingeniería social (que también es un hack). sin embargo, no hice nada de eso. así como pude accesar la cuenta de quetzi, pude haberlo hecho con la de pablo, la tuya o la de quien yo quisiera, con sólo saber el ID.

Pakko, jeje, espero que no te vayan a aburrir el resto de posts, que son comprendidos por marketing + juegos

Saúl, en realidad es difícil tener una buena definición de hacker.. pero bueno, hay que ponerle un nombre.

Axotla, gracias por los comentarios, los tomaré en cuenta.

victornae, viniendo de ti, un gran halago. la verdad yo no tengo nada en contra de nadie. saludos.

NemoRude, precisamente esa es la parte buena (o mala, según el cristal con el que se mire). no hay bibliografía de ningún tipo. al menos en mi caso. sólo hay que estudiar, estudiar, estudiar y construir para aprender a destruir.

Ajeno, creo que la lección es aprovechar lo que tienes, iwiks aún está en la atención de los medios, que siguen siendo importantes. pero sí, la paciencia también es una buena arma. saludos.

por último, lean detenidamente los comentarios de Karlos y el de Dano. los dos saben de lo que hablan.

#13 Robbik_com (26/1/2011 @ 1:39 p. m.)

También quiero compartir con ustedes este nuevo sitio de espacios publicitarios. Es totalmente gratis y acepto cualquier queja ó sugerencia.
Saludos a todos los lectores de este blog.

www.robbik.com

#14 loslos12 (19/2/2011 @ 10:42 p. m.)

jjajajjaajja estos vatos son unos pendejos 2 años para hacer un intento tan pendejote como este se la mamaron
eesta bien pata esa red social y lo promocionaron como si fuera un proyecto chingon jajajajjajaajajaj hasta hasta joosocial o anahita son mejores scripts para redes sociales cree que hubieran echo un trabajo mejor si hubieran estudiado estos scripts pero ya que yo no los voi ayudar simplemente estan mui pendejos estos weyesss chaoooo

#15 loslos12 (21/2/2011 @ 12:14 p. m.)

jajaj ya tiene rato y aun se puede haceder hasta alos directorios de imagenes …aunque creo q ya no se levantan…..
(www.iwiks.com)

Agrega tu comentario

Nota: Comentarios deshabilitados temporalmente, disculpen las molestias.