La web de auditoriasciudadanas.netlify.app es una estafa

Gracias a @livingstone84 por este artículo, he hecho una investigación en mis horas muertas y he encontrado muchas cosas graciosas.

Esta web, esta gestionada con una API en json y un front en React, los metodos son privados, pero usando la token de sesión y un poco de ingeniería inversa, he conseguido ver los metodos de los que dispone la api:

GET, POST, DELETE, PATCH para:

/votes
/proposals
/password_attempts
/wastes
/page_views
/audit_log
/rate_limits
/comments
/admin_users
/admin_sessions
/admin_actions
/scheduled_comments
/comment_votes
/subscribers
/sessions
/deletion_attempts
/proposal_deletions
/audit_logs

GET, POST para:

/rpc/validate_content
/rpc/insert_sample_proposals
/rpc/check_rate_limit
/rpc/set_admin_password
/rpc/log_password_attempt
/rpc/check_admin_credentials
/rpc/format_savings
/rpc/record_action
/rpc/generate_random_nickname
/rpc/generate_random_nickname_extra
/rpc/update_admin_last_login
/rpc/get_daily_visits
/rpc/validate_admin_session
/rpc/set_delete_password
/rpc/check_admin_password
/rpc/check_delete_permission
/rpc/create_admin_session

Muchos de estos endpoints, son accesibles con la token de sesión de un usuario sin auntentificar, hay unos cuantos métodos curiosos:

Listado de los usuarios admin (admin_users), te da su usuario y su password (cifrado)

Listado de comentarios (comments), este te da todos los comentarios, los he pasado a un CSV y viendo las fechas de creación, la estructura de los comentarios y los nombres de usuario, tienen pinta de ser generados por una IA.

Pero mis metodos favorios son (generate_random_nickname y generate_random_nickname_extra) genera nombres de usuario, con el mismo patrón que muchos de los usuarios de los que hacen los comentarios.

La seguridad de la web, brilla por su ausencia, seguramente, con algo de paciencia y ganas podría hacer un volcado de paracticamente todos los datos de la web.

Ya no sé, que es más comico, si el contenido, los comentarios generados por IA o todo el tema legal.

Si alguien quiere saber más o como he obtenido estos datos, que me pregunte, porque no hay absolutamente nada ilegal en como los he obtenido, lo que seguramente sea ilegal, es que estén tan expuestos.

187 meneos

3506 clics

publicado
____

43 comentarios

COMENTARIOS DESTACADOS

: «Gracias a @Livingstone85 por las risas y por decirme como se publican los artículos. Hay mucha información jugosa en esta web, debería de ser denunciable.»

2025-02-12 16:34:39

: «#1 Gracias a ti por aportar todos estos datos que se nos escapan a los legos en informática

2025-02-12 16:35:55

: «#2 A mí eso de que puedas ver los emails de los admins y sus contraseñas cifradas me parece un cachondeo, pero fijo que si consigo un usuario (me está siendo imposible registrarme) seguramente se pueda hasta se puedan escalar permisos{lol}

2025-02-12 16:40:12

: «#11 disculpame, lo que quiero decir que la web no tiene nada se seguridad, con una sesión de un usuario normal puedes ver información que no debería de ser posible porque incumple normativas, como por ejemplo tener el email expuesto, aparte de que la mayoría de comentarios, son generados por una IA. Lo que quiero decir, es que desde el punto de vista legal, de diseño, usabilidad y seguridad es auténtica mierda y muy posiblemente, esté incumpliendo la ley de protección de datos, registro mercantil y alguna más.»

2025-02-12 20:50:48

: «#14 tienen un método para generar nicks aleatorios. Si es que son adorables.»

2025-02-12 20:52:08

#1 elGude

Gracias a por las risas y por decirme como se publican los artículos.

Hay mucha información jugosa en esta web, debería de ser denunciable.

35 371

#2 Livingstone85

Gracias a ti por aportar todos estos datos que se nos escapan a los legos en informática

22 232

#4 elGude

A mí eso de que puedas ver los emails de los admins y sus contraseñas cifradas me parece un cachondeo, pero fijo que si consigo un usuario (me está siendo imposible registrarme) seguramente se pueda hasta se puedan escalar permisos{lol}

11 136

#9 Alexfighter

Gracias a <-- se te ha comido 1. Ahora se va a contar 20.

1 26

#30 Leon_Bocanegra

es un claro microblogging!

0 8

#12 themarquesito

Igual puedes denunciar ante la AEPD

0 20

#40 KaBeKa

Lo de este pibe pidiendo otra opinión cuando ha comprado un tercio de una web de opinión... Directamente es de hacérselo mirar.
Coño compra ok diario y te quitas de problemas.
Yo entre aquí por ser un nido de opinión, luego cada uno elige el tiempo que dedica a lectura y sobre todo que QUIERE LEER, menear y votar.
Hasta los huevos de la libertad de algunos...

5 60

#21 chochis

Vale, está hecho en phoenix www.phoenixframework.org/ y tiene abierto los websockets que envían eventos por debajo

4 60

#22 chochis

Parece que al registrarse, el usuario queda como registrado pero no he conseguido el email para verificarlo.

0 11

#23 chochis

Supongo que te puedas suscribir a otros eventos, por defecto se suscribe a estos:
{"topic":"realtime:proposals_changes","event":"phx_join","payload":{"config":{"broadcast":{"ack":false,"self":false},"presence":{"key":""},"postgres_changes":[{"event":"*","schema":"public","table":"proposals"}… » ver todo el comentario

3 42

#8 Abdo_Collo

Yo he entrado y he empezado por votar todas las propuestas trolls, cargarse concertados, la aportación a la iglesia, etc. Tengo a punto una propuesta para legalizar a todos los inmigrantes en situación ilegal pero no puedo porque no me verifica el correo...

4 57

#31 Abajo

0 12

#3 manbobi

Pues a mí los comentarios me parecen legítimos. Sobre todo los últimos. Son brutales, como diría el del economista.

2 50

#5 elGude *

Los de Martin Varsavsky son los mejores

4 76

#6 manbobi

Tienen una factura muy bella y un qué se yo que los hacen muy destacables. Eso es cierto. Los de después tienen un desparpajo y frescura que también aportan. Es mi humilde y anónima impresión.

2 44

#10 manbobi

La propuesta de residuos en el Mar Menor debería ser por RD. Y la del museo del jamón. Mis dieses al verdadero Varsavsky. No queda claro cómo el Soylent Green adquiere su color.

1 30

#14 fogueo

Yo de momento me he topado con el archivo JS del front (/assets/index-CoiaM09P.js), con bastante ofuscación, incluso de los nombres de los colores web (por ejemplo, "bPwn", donde "P"="ro", así que queda "brown"), pero allí estaban algunas peticiones al endpoint con la función check_admin_password a la hora de editar o eliminar propuestas y el esqueleto general de algunas estructuras del sitio (por ejemplo, tipos de propuestas en cada nivel a… » ver todo el comentario

4 46

#17 elGude

tienen un método para generar nicks aleatorios. Si es que son adorables.

6 88

#19 Sadalsuud

Ahhhh, así que esa era la idea detrás de los 500 gilifachas de varsavsky para bajar el nivel de zurdos en menéame... Crearlos con IA... Estos ricos de postín son todos unos rácanos, y bastante torpes, por cierto. A ver si alguien denuncia y le cae una multa de un cuarto de millón de ΕΥΡΩ, por lo menos.

6 85

#20 elGude

la api está diseñada con un promt de una IA y un becario.

3 45

#24 cosmonauta

Lo peor es que todavía se lo andará contando a los amigos. "Ge hecho una web en una tarde".

Y no es consciente de que ja hecho una mierda pinchada en un palo que mejor vaya apagando pronto.

1 23

#35 Priorat

Mira se se enfada Martincito y se vuelve más fachilla de lo que es.

2 43

#7 borre

Si con esa url alguien le hace caso mal empezamos, y ya todo lo que comenta

2 42

#33 NoMeVeas *

JAJAJAJAJAJAJA

Es que tienes que reirte. No pueden intentar ir adelante con la verdad pero ni de coña.

2 40

#37 MADMax2

A ver si esto va a resultar que es un HoneyPot y estáis picando

2 34

#34 Abajo

Espero que haya más capítulos sobre esto...

1 32

#41 Zarangollo

Auditorias a una web de auditorías, meneame en estado puro

1 29

#13 alfema

¡Hombre Gude!, ¿tu también por aquí?

1 25

#16 elGude

desde hace siglos. Un placer volver a hablar contigo

0 14

#42 JanSmite

twitter.com/Jan_Smite/status/1889829512185258223

0 14

#11 Stieg_bcn_2

El artículo es incomprensible para los que no somos informáticos (soy ingeniero informático pero de hace 30 años y no estoy actualizado).
De verdad, no me he enterado de nada.

0 7

#15 elGude

disculpame, lo que quiero decir que la web no tiene nada se seguridad, con una sesión de un usuario normal puedes ver información que no debería de ser posible porque incumple normativas, como por ejemplo tener el email expuesto, aparte de que la mayoría de comentarios, son generados por una IA.

Lo que quiero decir, es que desde el punto de vista legal, de diseño, usabilidad y seguridad es auténtica mierda y muy posiblemente, esté incumpliendo la ley de protección de datos, registro mercantil y alguna más.

9 105

#18 Stieg_bcn_2

Gracias!

1 21

#32 Xtampa2

En realidad es que la web es una denuncia del exceso de regulaciones de la UE

1 32

#36 Eukherio

A lo mejor simplemente le montaron una web a Varsavsky por 4 euros para tenerlo entretenido un rato. Ya va mayor y puede que le haga hasta ilusión, porque con los comentaristas de IA ya tiene la comunidad que quería para Menéame (quitando los trolls). Después en alguna cenita cuando vayan ya todos un poco piripis podrá fardar de que el proyecto que tiene ahora entre manos es básicamente el DOGE español, y que con un poco de impulso le ahorrarían miles de millones al estado.

2 29

#38 BiRDo

Si te sirve de consuelo, yo también me saqué la ingeniería hace más de 20 años y lo he entendido todo todito todo. Me imagino que esto lo han instalado sin tener ni puta idea de que antes de sacar una versión a explotación hay que hacerle un repaso del bueno a todas las vías de acceso para que se cumplan unos mínimos de requisitos de control.

1 30

#28 Jakeukalane

ha desglosado una API y luego lo que te dice en 15.
Básicamente, las APIs son un conjunto de nombres estandarizados para interactuar con un programa. Otro programa o tú (por ejemplo, a través de la URL en un navegador) puede enviar peticiones a esos nombres. Como la respuesta de cada nombre está predefinida según el estándar de la API, recibirás un resultado predecible.

1 18

#25 endy

En 20 años no he visto que alguien dijera "la token" en vez de "el token"

0 7