Como he conseguido la info de auditoriasciudadanas

Voy a ampliar el artículo que hice de auditiríasciudadanas

Firefox ofrece herramientas avanzadas en su consola de desarrollo para inspeccionar y modificar llamadas a APIs. Lo curioso del asunto es que el token básico, ese que te dan como usuario anónimo, no tiene demasiadas restricciones a la hora de realizar ciertas llamadas. Esto deja claro que el sistema de permisos de la API es, cuanto menos, cuestionable.

Por ejemplo, esta es la llamada que permite acceder a la documentación Swagger:

curl 'xfztookxklscvnctqcog.supabase.co/rest/v1/' --compressed -H 'Accept: /' -H 'Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3' -H 'Accept-Encoding: gzip, deflate, br, zstd' -H 'Referer: auditoriasciudadanas.netlify.app/' -H 'accept-profile: public' -H 'apikey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6InhmenRvb2t4a2xzY3ZuY3RxY29nIiwicm9sZSI6ImFub24iLCJpYXQiOjE3Mzg4MzAwOTIsImV4cCI6MjA1NDQwNjA5Mn0.lLgof7_zr3l_y_6MOSD-hpslEg40zgfpwvs4bGHGdhQ' -H 'authorization: Bearer [TOKEN DE SESIÓN]' -H 'x-client-info: supabase-js-web/2.48.1' -H 'Origin: auditoriasciudadanas.netlify.app' -H 'Connection: keep-alive' -H 'Sec-Fetch-Dest: empty' -H 'Sec-Fetch-Mode: cors' -H 'Sec-Fetch-Site: cross-site' -H 'Priority: u=4' -H 'TE: trailers'

No he tenido que profundizar demasiado para encontrar cosas dignas de un stand-up comedy. La documentación está hecha con Swagger y se puede configurar mediante un archivo YML para limitar el acceso a ciertos endpoints (EP) según el token de usuario. En este caso, parece que alguien decidió ignorar esa funcionalidad.

Hallazgos curiosos:

Estos endpoints están en la parte pública y no deberían:

/rpc/insert_sample_proposals: Carga propuestas de ejemplo.
/rpc/set_admin_password: Cambia la contraseña del administrador (¿es en serio?).
/rpc/check_admin_credentials: Verifica credenciales de administrador.
/rpc/create_admin_session: Parece diseñado para permitir a usuarios normales escalar a administrador.
/admin_users: Lista usuarios administradores con contraseñas cifradas.
/rpc/generate_random_nickname y /rpc/generate_random_nickname_extra: Para generar apodos aleatorios. Sí, ternura infinita.

Swagger incluso te da instrucciones detalladas para hacer llamadas POST, describiendo los campos necesarios y mostrando ejemplos de respuesta. Por ejemplo, al pedir el endpoint admin_users, se obtiene algo como esto:

[{"id":"9c8feed4-9fe3-4685-8260-5706a8d2a86b","email":"[email protected]","password_hash":"$2a$06$yeB3HsA65hAUp0aeYwpdNeJPID1OLCBE7BUVoiaE0tzlraWOm.lhu","created_at":"2025-02-12T11:17:31.90657+00:00","last_login":"2025-02-12T11:22:45.55577+00:00"}]

Al menos no están almacenando contraseñas en texto plano... qué consuelo más barato.

Y para rematar, en el endpoint proposal_deletions se pueden consultar propuestas borradas. Por ejemplo:

{"action_type":"delete","deleted_proposal":"Ayudas por violencia de género","deleted_by":"Anónimo","deleted_at":"2025-02-06T20:51:44.106982+00:00}

Ejemplos de nicks aleatorios:

"Funcionario401Zaragoza".

"Contribuyente190Sevilla"

"Funcionario572Vigo"

"Positivo######Net"

Conclusión:

Esto parece una clase práctica de “Cómo no diseñar una API”. Entre los permisos descontrolados y la documentación pública indiscriminada, es un terreno fértil para los más curiosos... o los malintencionados.

158 meneos

3907 clics

publicado
____

41 comentarios

COMENTARIOS DESTACADOS

: «Mis felicitaciones. Esta sublevación contra Varvarsky forma parte de la parte noble, y gloriosa, de la historia de este sitio. Ahora no sé si el 'lumbreras' éste querrá cerrarlo, venderle su parte a los de Antena 3 o emigrar de vuelta a Argentina después de haber sido dejado en evidencia en todas sus "aventuras" por los usuarios de Menéame durante casi veinte años y que han demostrado una y otra vez que el mundo está al revés y que los dueños de todo no valen nada.»

2025-02-13 14:38:00

: «#36 jajajajajajajajjajajajajajajajaja El email del admin no existe. Con dos cojones»

2025-02-14 10:43:04

: «#11 Aún más fácil, que venda su participación y se compre un bosque y se pierda.»

2025-02-13 17:50:13

: «#14 Hay vuelos baratos a Argentina y ahora es un paraíso.»

2025-02-13 19:18:26

: «#6 He pinchado en los dos enlaces y te llevan al mismo sitio

2025-02-13 16:20:32

#2 letra *

Mis felicitaciones. Esta sublevación contra Varvarsky forma parte de la parte noble, y gloriosa, de la historia de este sitio. Ahora no sé si el 'lumbreras' éste querrá cerrarlo, venderle su parte a los de Antena 3 o emigrar de vuelta a Argentina después de haber sido dejado en evidencia en todas sus "aventuras" por los usuarios de Menéame durante casi veinte años y que han demostrado una y otra vez que el mundo está al revés y que los dueños de todo no valen nada.

25 258

#5 elGude

No creo que Varvarsky sepa nada de esto, ni le interese la verdad que si le jode en algo, me alegro, pero no creo ni que llegue a leer los artículos.

0 16

#7 letra

Yo creo que vive para lo que digan de él, acuérdate del blog que tenía. Ni .

1 28

#13 elGude

Bueno, si quiere algo, que escriba, que seguro que saco un momento para mandarlo sutilmente a la mierda.

2 31

#20 _514

pues yo le vi presumiendo que ahora con la ia no tienes que saber nada de programación para hacer apps cojonudas y que estaba preparando una importante que pronto saldría a la la luz... No se...

0 7

#3 Sandevil

Como pequeña puntualización, la documentación con swagger no tiene porqué limitar nada, es solo documentación, y dependiendo si lo han generado con un yml o anotaciones puede ser más falsa que un euro de 99 céntimos.

Tampoco podemos determinar que no almacenen el password en texto plano, simplemente que no es un campo que devuelvan.

Por otro lado, lo normal es que desactives o controles mediante un variable de entorno el acceso o no a swagger, sobre todo cuando pasa a producción

2 40

#4 elGude

la documentación con swagger no tiene porqué limitar nada, es solo documentación, y dependiendo si lo han generado con un yml o anotaciones puede ser más falsa que un euro de 99 céntimos.

Correcto, pero por defecto, se generan con los EP existentes, lógicamente puedes crear EP falsos, pero tal y como está configurado, me da en la nariz, que el que lo hizo, no tenía ni idea de como ofuscar esa información.

1 26

#19 Pablosky *

Pero ChatGPT no entiende eso de "pasar a producción" si no se lo pides expresamente

O el que lo hizo formuló mal la petición

No sé si será verdad, pero ahora mismo me estoy imaginando a este cuñao explicando a un 3º como "los informáticos ya no hacen falta para nada, la IA lo hace todo" y usando de ejemplo este despropósito que ha creado.

1 24

#23 exeware

Auditoria auditada!! Genial!

2 39

#30 sxentinel

Esta todo inventado.

www.youtube.com/@AuditTheAudit

1 22

#8 Top_Banana

Por lo menos Martín ha tenido su ratito de casito, que al final es lo que necesita. Ha durado poco, eso sí

2 38

#6 sxentinel

Supongo que esta fuera de lugar y es algo obvio, pero soy lego y existen varias posibilidades de que la web que revisas no sea correcta. Me explico, revisando el tuiter de Martin Varsavsky el usa directamente la dirección auditoriasciudadanas.es/ ( x.com/martinvars/status/1889597860431192551 ) en lugar de auditoriasciudadanas.netlify.app

No se si cambiara en algo o no, pero se ve raro.

1 28

#9 Livingstone85

He pinchado en los dos enlaces y te llevan al mismo sitio

3 42

#26 sxentinel

Thnkius por la aclaración. Me imaginaba que seria algo del estilo Ionos y similares, que la gratis la haces bajo su dirección y luego pagas por la dirección propia.

Pero es cierto, que podría haber sido una pagina de pruebas abandonada o algún tipo de vertedero o alguna mierda similar.

1 32

#27 elGude

Cierto, pero al ver que la api es la misma, simplemente es que es un subdomino de la misma.

0 17

#28 sxentinel

Si, si. Me ha quedado claro, solo justificaba mi duda, que siempre hay quien mal entiende las cosas y tal.

Lo dicho, thnkius por el curro.

0 12

#10 Sandevil *

Son el mismo sitio, simplemente es un alias dns (pestaña dns records):

who.is/dns/auditoriasciudadanas.es
who.is/dns/auditoriasciudadanas.netlify.app

2 25

#12 elGude

Usan la misma API

2 31

#40 neotobarra2

Se te ha colado un %20 al final del enlace a tu artículo de auditoriasciudadanas.

1 27

#31 fogueo

O más bien un viernes 14 de febrero, Sam va lentín.

1 20

#32 sxentinel

Y tan lentin, que me da que salio el trece y aun no sabemos si llego a su destino.

0 12

#1 manbobi *

Edit. Pensaba que era un artículo previo.
Circulen, aquí no ha pasado nada.

0 15

#11 devilinside

Fácil solución, Que venda su participación y se compre Forocoches

0 11

#14 elGude

Aún más fácil, que venda su participación y se compre un bosque y se pierda.

3 44

#15 devilinside

O se pague la boleta de vuelta a Argentina, que ashá tené toda la libertad que quiera, carajo

1 20

#16 Abajo

Hay vuelos baratos a Argentina y ahora es un paraíso.

2 44

#41 BuckMulligan

github.com/martinvars/auditoriaciudadana/blob/main/src/utils/passwordP

0 10

#22 M_S_X_ *

¿Y no sería mejor avisarles de sus vulnerabilidades que exponerlas aquí?

A menos que lo que quieras hacer es, con este tono de falso paternalismo, joderles la web.

0 7

#34 elGude

Le he mandado los dos artículos a la web de martin varsavsky, si tienes el email de alguien más se lo envío encantado.

0 17

#36 elGude

Fijate, te voy a dar la razón, le he enviado un email, al usuario que sale como administrador, te mantendré informado.

0 17

#37 elGude

jajajajajajajajjajajajajajajajaja

El email del admin no existe.

Con dos cojones

2 45

#39 neotobarra2

Sinceramente creo que todos ganamos más jodiendo esa web.

0 9

#25 juagicre

enhorabuena al becario que hizo la web de la renfe, ahora hace APIs!

0 6

#35 elGude

Yo apuesto a que es un promt de una IA

0 17

#38 JoulSauron

Espera, pensaba que esto ya estaba establecido, pero igual lo que leí estaba escrito de cachondeo.

0 9

#17 NeSilento *

#_2 Rompéis meneame y os alegráis. Sois el veneno que intoxica las redes y sacáis pecho. Celebráis batallas de una guerra que sólo podéis perder y os embriagáis en vuestra propia mediocridad.

10 -61

#18 eugeniodl

¡Hostia! Qué mensaje más profundo.

4 42

#29 sxentinel

De un jueves 13 de febrero a las 03:22 de la mañana... no te digo mas.

_{Huele a rabia y soledad a Km.}

0 12

#21 _514

que si Martin que si

0 7

#24 fogueo

Y yo pensando que el cantamañanas de Varsavsky había creado una aplicación para hacer auditorías. ¿No quiere auditorías? Entonces, ¿qué hay de malo en auditar la aplicación?

1 25

#33 elGude

Si me pagaran por hacer una auditoria seria, el artículo sería mucho más largo, divertido y demostrando que para este desastre solo hay dos opciones, o bien ha puesto a un junior sin supervisión a hacer esto o le ha pedido un promt a una IA para que le haga esta mierda.

Esto lo he hecho en 15 minutos, sin esforzarme mucho, sin ir a cuchillo y solo porque encontré de pura casualidad el método generate_random_nickname.

Si alguien quiere una auditoría seria, si paga, le saco hasta la versión del PC en el lo hizo

1 26

menéame

condiciones legales / de uso / y de cookies
/ quiénes somos
/ licencias: código, gráficos, contenido
/ HTML5
/ codigo fuente