Descubre la mayor vulnerabilidad de la historia de BitTorrent y la compañía no le recompensa

Escrito por Redacción
P2P
8

La pasada primavera un particular detectó un grave fallo en BitTorrent que podía haber costado muy caro a la compañía. Tras reportarlo, la responsable de la red P2P decidió ignorar la petición del usuario para cobrar una cantidad justa por la información. Ante ello ha optado ahora por publicar todos los detalles de la vulnerabilidad.

A pesar de que los fallos en el sector informático y tecnológico están a la orden del día, el caso que nos ocupa es especialmente llamativo. Es frecuente que las grandes compañías acaben recompensando a aquellos usuarios que reportan vulnerabilidades, pero la última noticia publicada en Torrentfreak deja en entredicho a los responsables de BitTorrent, que no supieron hacer lo propio con el particular que les comunicó el que probablemente sea el mayor fallo detectado desde la creación de una empresa con más de 150 millones de usuarios al mes.

Dicha cantidad nos lleva a imaginar las tremendas consecuencias que podría haber tenido dicha vulnerabilidad en caso de haber sido descubierta por alguien con intenciones maliciosas. No fue el caso de MentaL, administrador de RaGEZONE, encargado de detectar por casualidad el fallo mientras buscaba un proveedor de hosting para un amigo.

En su búsqueda se topó con el panel de control de Jenkins de BitTorrent, que acabó siendo la puerta de entrada a una ingente cantidad de información altamente confidencial almacenada por la compañía. "Olvidaron incluir una contraseña para administrar el panel desde el cual se tenía acceso a la cuenta principal", explica MentaL. "Cualquiera que tuviese el acceso que yo tuve podía haber robado el código fuente de todos los productos BitTorrent y más. Por ejemplo, si fuese un idiota podía haber modificado la actual versión con una actualización que incluyese un virus y destruyese todo el contenido de los usuarios que la instalasen", destacó.

Esto nos da una idea del potencial alcance de esta vulnerabilidad, que también hubiese servido para revelar información confidencial y financiera sobre BitTorrent Inc. Sin embargo, la decisión de MentaL fue comunicárselo a la compañía sin actuar con malicia, ante lo que le respondió agradecida y prometiéndole una recompensa económica. La primera cantidad ofrecida fue de 500 dólares, que el usuario no tardó en rechazar por lo baja de la misma.

No en vano, el propio cliente había comprobado los balances económicos de la compañía y vio cómo se habían producido ofertas de trabajo con salarios de 150.000 dólares al año, lo que le sirvió para hacerse una idea de las cantidades que maneja BitTorrent y la escasa recompensa que pretendían darle. "Ingresan millones al año en concepto de publicidad y nunca hice nada malo con la información que tenía, por lo que me siento insultado", sentenció a la par que hizo público su caso a través del citado portal en señal de descontento.

Fuente > ADSLZone

Continúa leyendo
Comentarios
8 comentarios
  1. Nova6K0 02 Ago, 13 1:47 pm

    El que llevase la seguridad debería ser despedido de manera fulminante. Menudo despropósito.

    Salu2

  2. Anónimo
    Usuario no registrado
    02 Ago, 13 1:58 pm

    La racanería que ha demostrado esa empresa les va a salir caro a la larga, pues la moraleja que se saca es que, ya que no te van a pagar bien, búscate quien lo haga, aunque use esa informacion para maldades

  3. Anónimo
    Usuario no registrado
    02 Ago, 13 3:07 pm

    pues el proximo que encuentre una “vulnerabilidad” no será tan buena persona

  4. Anónimo
    Usuario no registrado
    02 Ago, 13 6:21 pm

    pero eso no es una vulneraviidad. no es problema del codido de bittorrent ni del protocolo. es culpal de lo intutiles de los administradores de red. no tiene nada que ver con el p2o ni con el bittorrent

  5. Anónimo
    Usuario no registrado
    02 Ago, 13 7:05 pm

    y como buscando un hosting para un amigo se encuentro ese panel? O.o me parece ami que no cuadra mucho esa version ehh, de todos modos voy a buscar un hosting para un amigo aver si me encuentro las cuentas bancarias de microsoft… seguro que tengo suerte xD

  6. Anónimo
    Usuario no registrado
    03 Ago, 13 11:18 am

    Entonces si encuentro algo perdido, una cartera, y lo devuelvo es para una recompensa no por ser una persona con valores…. Mis padres me dieron una educación y no exigió dinero cuando hago lo correcto

  7. Anónimo
    Usuario no registrado
    04 Ago, 13 2:39 pm

    Me ha encantado lo de “encargado de detectar por casualidad”. Ahora también se encargan trabajos de detección por casualidad :p