A través del twitter leo el artículo de Marcelino Madrigal sobre el “hackeo” de www.eu2010.es.

Algunos comentarios a sus puntos:

El el punto 1, se aclara que los 9 millones de euros (sin IVA) no sólo incluyen la creación y mantenimiento de la página web, sino de toda la infraestructura de las cumbres, SLAs, almacenamiento, comunicaciones, etc. incluyendo “seguridad y hacking ético”.

O esa parte de la adjudicación todavía no se ha ejecutado, o la parte de “seguridad y hacking ético” ha sido cuando menos pobre. Cualquier herramienta automática de escaneo de vulnerabilidades de aplicaciones web hubiera “cantado” el XSS en la página de resultados de la búsqueda enseguida. O eso, o le han subcontratado la “seguridad y hacking ético” a los de siempre, con los resultados… de siempre.

Sobre el punto 3, tiene razón en parte. El “hackeo” es al navegador de la persona que sigue ese enlace. Efectivamente no se modifica nada en las páginas, contenido o base de datos de la web en cuestión. Ahora bien, no es un tema a trivializar.

Ya pasó (mayormente) la época en la que se despreciaban estos agujeros de seguridad como “algo del cliente”. Preguntad a la gente de seguridad de cualquier institución financiera. El XSS permite hacer phishing, robar credenciales y cookies, instalar troyanos mediante drive-by download, etc.

Y sobre el punto 6, totalmente de acuerdo. Cualquier profesional que se precie hubiera notificado el problema antes de darlo a conocer. Lo que me lleva a pensar que no es un profesional, ni siquiera un amateur con escrúpulos, sino un puto crío de los cojones (aka “script kiddie”) que quería sus 30 segundos de gloria y pensará que mencionando su hazaña en los billares va a tocar teta.