Hoy voy rápido:
Hace un par de días me conecté a tuenti y me habían invitado a un evento que decía lo siguiente:
HAY UN FALLO QUE PERMITE VER QUIEN TE VISITA!!! Cuando alguien te visita, se aumenta una visita a tu contador, pero no se puede ver quien fue el que realizo la visita. Con esta aplicación podrás averiguar quien fue, ya que debido a un fallo, se puede averiguar.
Para descargar la aplicación haz click en el siguiente enlace: http://goo.gl/vO28y
Aquí la demostración:
- 1) Clicko y tuenti ya me avisa de que tenga cuidado, pulso en continuar y me redirigen un par de veces (live http headers & NoScript activados) hasta llegar a una página para introducir tú móvil.
[http://ese.sinfindejuegos.com/wsb/Subscribe.aspx?i=241f7cda-3157-4c55-94e4-d42d922cf733]
- 2) En dichas re-direcciones, se pasa por un servidor APACHE! con CentOS como sistema operativo.
(La dirección del servidor: http://50.116.87.18/) Si metemos la dirección del servidor en la barra de direcciones de puede ver algo así "Apache 2
Test Page powered
by CentOS"
- 3) Pruebo ssh desde consola y lo tiene activo. También pruebo ftp y lo mismo. Pero como era de imaginar ambos con contraseña.
- 4) Hago un traceRoute y...: "50.116.87.18 is from United States(US) in region North America" parece ser que el servidor que nos ha redirigido está en America.
- 5) Por curiosidad miro un poco la letra pequeña de la web dónde nos pedían el número movil y nombran una empresa llamada "X".
Servicio de suscripción para descargar contenidos para móvil por tan sólo 1,42 € (IVA incluido) por sms recib. + precio de navegación wap, consulte con su operador. Máx.6 sms/sem.
Vamos, que si te das de alta para poder "ver quien te visita en tuenti" y tardas un mes en darte cuenta de que en realidad te has suscrito en este servicio, te llega una factura de (1.42*6*4) 35 eurillos... Y obviamente, sigues sin poder ver quien te visita x)
- 6) Con una herramienta de la universidad de Zaragoza analizo la empresa y esta es una sociedad limitada, está en sevilla, su web es www.X-mm.com, su actividad dicen que es "SERVICIOS DE PUBLICIDAD" y el Director ejecutivo es un tal XYZ con unos apellidos ingleses, en http://cargos.axesor.es/ he encontrado información sobre él. (Prefiero no nombrar a ninguna persona concreta en mi blog).
No creo que sea él realmente quien haga todo esto , seguramente haya contratado una subempresa (y posiblemente americana) sin saber cómo iban a trabajar.
Esta vez no me ha dado tiempo a mirar el código que estaba alojado en el servidor de America, lo han quitado muy rápido. Tanto la web del servidor, como el evento de tuenti.
¿Conclusiones?
- No hacer ni caso a este tipo de eventos
- No insertar nunca tu número de teléfono por internet, a no ser que estés seguro de que sabes lo que haces.
2 comentarios:
Hola Rafa, soy el Thomas con los apellidos ingleses. He buscado tu email por alguna parte pero no lo encuentro así que te escribo por aquí. Como bien dices, esto si que es lo primero que sabemos sobre ello. Para que podemos tomar las medidas de acción adecuadas, ¿sabes cual ha sido la red publicitaria (muchas veces puedes verlo en el enlace del anuncio) y el código de SMS que finalmente se anunciaba? Si no tienes esa información exacta, cualquier otra información que nos puedes dar será muy agradecida. Puedes encontrar mis datos de contacto en nuestra página web. Muchísimas gracias de antemano.
@Thomas, te he contestado en el correo de atención al cliente. Un cordial saludo.
Publicar un comentario