Interceptacion de Entregas y Paqueteria "Servientrega"

Bueno en este articulo voy a hablar de un servicio muy conocido llamado "Servientrega" muy similar al famoso "FEDEX", el cual para quien no lo sabe es un sistema de mensajeria y paqueteria USUALMENTE puerta a puerta o de recogida central.

El 27 de oct de 2011 venia de clases y decidi pasar por la central a ver si ya me habia llegado un paquete que me habia enviado 2 dias atras, entregue mi tarjeta de identificacion y me digeron que ya estaba hay y que se podia retirar, bueno analizando la situacion todo muy bien, pero note que con solo dar ciertos datos y tener una identificacion se podria retirar un paquete sin problemas, vaya!! es muy "DIFICIL" ante muchos conseguir toda la informacion de un envio:

quien envia, quien recibe, lugar, identificaciones ,etc.

Mucho mas dificil tener la identificacion del receptor!! hacerse con ella y obtener un paquete, al parecer todo esta bien por que es "DIFICIL" conseguir toda esa info sin conocer a la persona, seamos francos y vayamos a la realidad.

Al retirar mi paquete tenia que pagar un valor que se definia segun la distancia y el peso como en el momento no estaba conciente de que la persona que enviaba no iba a pagar el envio y era del metodo "AL COBRO" (el cual consiste en pagar una vez recibido el paquete) decido ir a mi casa y buscar dinero para poder hacer el retiro!, aqui es donde se enciende la luz... al ver mi NUMERO DE GUIA lo meti en el Rastreador de envios que tiene la pagina.

   

www.servientrega.com/wps/portal/inicio

Me imprimio los datos completos de mi envio... asi que decido crear un numero secuencial para ver si habia otro numero de guia y correspondia a otro paquete.

Mi numero de Guia= 7171257XXX
Numero Aleatorio= 7171257298

Efctivamente el numero secuencial con las ultimas tres cifras aleatorias me dio la informacion completa de un envio que claramente no era el mio.

IMAGENES OMITIDAS DEBIDO A LA CAIDA DEL HOSTING

vaya es info linda y valiosa...logramos ver:

REMITENTE
DESTINATARIA
DIRECCIONES
FECHAS PIEZAS
DESTINOS
y Lugar donde se encuentra el paquete

Ahora como muchos saben el photoshop hace maravillas!! y con un facil manejo de nivel basico-medio se puede hacer un Identificacion falsa.

Te preguntaras "ESTO NO FUNCIONARA" esa gente sabe como detectar eso y lo otro y bla bla bla... MENTIRA!! en el tiempo que llevo recibiendo paquetes y mi analisis segun su comportamiento NUNCA se han fijado en datos distintos a los ESENCIAL [NOMBRE Y NUMERO DE ID] asi que en pocas palabras la seguridad de informacion que fluyetanto entrante como saliente es INSEGURA!!

Planteemos el Escenario

1-Tenemos la ID falsa lista
2-Hacemos una llamada a la central para saber si el articulo aun esta en bodega
3-se repasa un poco la info de memoria, no se quiere fallar al momento de las preguntas superficiales.
4- se recibe el articulo y te vas.

QUE INSEGURO NO???

Seamos francos, lo peor de todo es que los numeros de GUIAS se pueden explorar en rangos y nos da distintos DESTINOS y LUGARES DE ENVIOS, es dificil para un particular estar viajando y cazando los envios de otros, pero pensemos.. que tal si una organizacion de varias personas en todo el pais, [ESTO SE PUEDE GRACIAS A INTERNET] se dedica a esto? creanme que muchos envian cosas de valor y podrian haber perdidas millonarias.

Nota:no en todas se fuga la ID del cliente, dependiendo del tipo de documento esta sera impresa.

Fugas: CC No se Imprime , TI si se imprime, DT si se imprime, otro Tipo de Documento si se imprime.

CONCLUSION

No esta demas aclarar que mis articulos no son probados CON TERCEROS REALES debido a que si algo falla no quiero terminar en la carcel jajaja y la idea no es ROBAR es analizar la seguridad para reforzarla y que errores asi no lo sepan personas con fines perversos.

Pero tambien aclaro que esto fue probado 100% en el cual un amigo se hace pasar por mi para retirar mi paquete y todo salio bien, que inseguridad por dios jajaja PWNED!!!

Saludos y greetz: DRAGONJAR - DDLR - [LOWNOISE COLOMBIA]

En todo el mundo pasa eso, porque a las entidades esa, solo les interesa el dinero.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En todo el mundo pasa eso, porque a las entidades esa, solo les interesa el dinero.

Lo peor de todo compañero fue.. que reporte la falla y aun sigue latente.