comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Interceptacion de Entregas y Paqueteria "Servientrega"

  • 2 Respuestas
  • 1980 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado MaztoR

  • *
  • Underc0der
  • Mensajes: 56
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • MaztoR [IN]-Security
    • Email
  • Skype: Maztor-
« en: Julio 07, 2012, 05:59:57 pm »
/*********************************************************/
/    INTERCEPTACIONES DE ENTREGAS Y PAQUETERIA [MENSAJERIA]         /
/                                          Autor: MaztoR                                                 /
/                                                                                                                 /
/                         Genero: Ing Social + Info Exposed                                  /
/                                                                                                                 /
/*********************************************************



Bueno en este articulo voy a hablar de un servicio muy conocido llamado "Servientrega" muy similar al famoso "FEDEX", el cual para quien no lo sabe es un sistema de mensajeria y paqueteria USUALMENTE puerta a puerta o de recogida central.

El 27 de oct de 2011 venia de clases y decidi pasar por la central a ver si ya me habia llegado un paquete que me habia enviado 2 dias atras, entregue mi tarjeta de identificacion y me digeron que ya estaba hay y que se podia retirar, bueno analizando la situacion todo muy bien, pero note que con solo dar ciertos datos y tener una identificacion se podria retirar un paquete sin problemas, vaya!! es muy "DIFICIL" ante muchos conseguir toda la informacion de un envio:

quien envia, quien recibe, lugar, identificaciones ,etc.

Mucho mas dificil tener la identificacion del receptor!! hacerse con ella y obtener un paquete, al parecer todo esta bien por que es "DIFICIL" conseguir toda esa info sin conocer a la persona, seamos francos y vayamos a la realidad.

Al retirar mi paquete tenia que pagar un valor que se definia segun la distancia y el peso como en el momento no estaba conciente de que la persona que enviaba no iba a pagar el envio y era del metodo "AL COBRO" (el cual consiste en pagar una vez recibido el paquete) decido ir a mi casa y buscar dinero para poder hacer el retiro!, aqui es donde se enciende la luz... al ver mi NUMERO DE GUIA lo meti en el Rastreador de envios que tiene la pagina.

   
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
www.servientrega.com/wps/portal/inicio

Me imprimio los datos completos de mi envio... asi que decido crear un numero secuencial para ver si habia otro numero de guia y correspondia a otro paquete.

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Mi numero de Guia= 7171257XXX
Numero Aleatorio= 7171257298

Efctivamente el numero secuencial con las ultimas tres cifras aleatorias me dio la informacion completa de un envio que claramente no era el mio.

IMAGENES OMITIDAS DEBIDO A LA CAIDA DEL HOSTING

vaya es info linda y valiosa...logramos ver:

REMITENTE
DESTINATARIA
DIRECCIONES
FECHAS PIEZAS
DESTINOS
y Lugar donde se encuentra el paquete :D


Ahora como muchos saben el photoshop hace maravillas!! y con un facil manejo de nivel basico-medio se puede hacer un Identificacion falsa.

Te preguntaras "ESTO NO FUNCIONARA" esa gente sabe como detectar eso y lo otro y bla bla bla... MENTIRA!! en el tiempo que llevo recibiendo paquetes y mi analisis segun su comportamiento NUNCA se han fijado en datos distintos a los ESENCIAL [NOMBRE Y NUMERO DE ID] asi que en pocas palabras la seguridad de informacion que fluyetanto entrante como saliente es INSEGURA!!

Planteemos el Escenario

1-Tenemos la ID falsa lista
2-Hacemos una llamada a la central para saber si el articulo aun esta en bodega
3-se repasa un poco la info de memoria, no se quiere fallar al momento de las preguntas superficiales.
4- se recibe el articulo y te vas.

QUE INSEGURO NO???

Seamos francos, lo peor de todo es que los numeros de GUIAS se pueden explorar en rangos y nos da distintos DESTINOS y LUGARES DE ENVIOS, es dificil para un particular estar viajando y cazando los envios de otros, pero pensemos.. que tal si una organizacion de varias personas en todo el pais, [ESTO SE PUEDE GRACIAS A INTERNET] se dedica a esto? creanme que muchos envian cosas de valor y podrian haber perdidas millonarias.

Nota:no en todas se fuga la ID del cliente, dependiendo del tipo de documento esta sera impresa.

Fugas: CC No se Imprime , TI si se imprime, DT si se imprime, otro Tipo de Documento si se imprime.

CONCLUSION

No esta demas aclarar que mis articulos no son probados CON TERCEROS REALES debido a que si algo falla no quiero terminar en la carcel jajaja y la idea no es ROBAR es analizar la seguridad para reforzarla y que errores asi no lo sepan personas con fines perversos.

Pero tambien aclaro que esto fue probado 100% en el cual un amigo se hace pasar por mi para retirar mi paquete ;) y todo salio bien, que inseguridad por dios jajaja PWNED!!!

Saludos y greetz: DRAGONJAR - DDLR - [LOWNOISE COLOMBIA]
-------------------------------------
| Twitter: @Mazt0r                
| Site: No tienes permisos para ver links. Registrate o Entra con tu cuenta        
| Skype: Maztor-                    
-------------------------------------

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« Respuesta #1 en: Julio 07, 2012, 06:01:23 pm »
En todo el mundo pasa eso, porque a las entidades esa, solo les interesa el dinero.
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado MaztoR

  • *
  • Underc0der
  • Mensajes: 56
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • MaztoR [IN]-Security
    • Email
  • Skype: Maztor-
« Respuesta #2 en: Julio 07, 2012, 06:12:24 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
En todo el mundo pasa eso, porque a las entidades esa, solo les interesa el dinero.

Lo peor de todo compañero fue.. que reporte la falla y aun sigue latente.
-------------------------------------
| Twitter: @Mazt0r                
| Site: No tienes permisos para ver links. Registrate o Entra con tu cuenta        
| Skype: Maztor-                    
-------------------------------------

 

¿Te gustó el post? COMPARTILO!



"Whoops! hay un error, me cargue las credenciales de tu server!!!

Iniciado por Rootkit_Pentester

Respuestas: 0
Vistas: 458
Último mensaje Agosto 13, 2018, 11:03:08 pm
por Rootkit_Pentester
"Free Vps"

Iniciado por anonymous_pro

Respuestas: 0
Vistas: 1328
Último mensaje Enero 29, 2016, 10:00:37 pm
por anonymous_pro
DNS Poisoning "Video"

Iniciado por REC

Respuestas: 2
Vistas: 2128
Último mensaje Mayo 26, 2012, 10:06:06 am
por Aryenal.Bt
Inyección SQL vía "Sqlmap".

Iniciado por Z3N

Respuestas: 7
Vistas: 4350
Último mensaje Julio 31, 2014, 02:00:51 pm
por DRAKONE
Hacking "Password Self Manager"

Iniciado por Rootkit_Pentester

Respuestas: 0
Vistas: 831
Último mensaje Abril 08, 2018, 11:36:04 am
por Rootkit_Pentester