XSS en Mercado Libre (solucionado)
Hemos encontrado y reportado un error de XSS en el sitio de Mercado Libre que permitía un ataque similar al hallado y solucionado hace un tiempo. Luego de ponernos en contacto con la empresa, la misma ha solucionado el error y se ha comunicado con nosotros, agradeciendo:
Desde Segu-Info queremos destacar esta situación debido a que siempre reclamamos este tipo de actitudes y, cuando se dan, debe informarse apropiadamente.
Para que este "circuito" funcione, se deben dar dos condiciones: la primera es encontrar personas responsables que reporten el problema en forma adecuada y la segunda es que quien recibe la denuncia, interprete correctamente el reporte, corrija el error si aplica e informe a la persona de dicha solución.
Cristian de la Redacción de Segu-Info
Desde Segu-Info queremos destacar esta situación debido a que siempre reclamamos este tipo de actitudes y, cuando se dan, debe informarse apropiadamente.
Para que este "circuito" funcione, se deben dar dos condiciones: la primera es encontrar personas responsables que reporten el problema en forma adecuada y la segunda es que quien recibe la denuncia, interprete correctamente el reporte, corrija el error si aplica e informe a la persona de dicha solución.
Cristian de la Redacción de Segu-Info
EXCELENTE lo de ambas partes, siempre consideré a ML una empresa seria y esto me lo sigue confirmando. Buen trabajo.
ResponderBorrarRespecto al último parrafo del articulo, personalmente me canse de reportar vulnerabilidades y que no se haga nada, no soy de los que apoya hacerlas publicas porque puede afectar negativamente a la imagen de la organización. Pero me molesta saber que la vulnerabilidad esta latente y tarde o temprano alguien la encontrará y la aprovechará.
ResponderBorrarHay gran cantidad de organizaciónes que realmente no les interesa la seguridad, eso es en mi experiencia.
Hola Anonimo,
ResponderBorrarPienso igual q tú pero creo q todo está en la forma de reportarlo.
He hecho la prueba de reportar anónimamente y rara vez recibo respuesta pero si doy nombre, apellido, sitio web, etc. esas mismas empresas me responden casi siempre en muy corto plazo de tiempo.
Cristian