Obligan a cambiar el nombre de la empresa “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” (2020)

 (theguardian.com)
2 puntos por GN⁺ 2024-10-26 | 1 comentarios | Compartir por WhatsApp

  • Cambio forzado del nombre de la empresa

    • Companies House obligó a cambiar el nombre de la empresa por motivos de riesgo de seguridad
    • El nombre original era “><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD, y era un nombre vulnerable a ataques de cross-site scripting (XSS)
    • La vulnerabilidad de seguridad se demostró cargando un script desde el sitio XSSHunter para mostrar un mensaje de alerta

  • Contexto del cambio de nombre

    • Un ingeniero de software británico fundó la empresa con un nombre divertido y en tono de broma
    • Companies House reconoció que ese nombre podía generar un riesgo de seguridad y exigió cambiarlo
    • Antes ya se habían registrado nombres similares, pero este caso fue el primero en provocar una respuesta

  • Medidas de seguridad

    • Companies House tomó medidas inmediatas para reducir el riesgo de seguridad y preparó acciones preventivas para evitar casos similares
    • El nombre de la empresa ahora fue cambiado a THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD

  • Postura del director de la empresa

    • El director de la empresa pensó que no habría problema porque el Government Digital Service (GDS) tenía buena reputación en seguridad
    • En cuanto se detectó el problema, contactó de inmediato a Companies House y al National Cyber Security Centre

Resumen de GN⁺

  • Este artículo trata los riesgos de seguridad que pueden surgir cuando el nombre de una empresa incluye código HTML
  • Sirve como advertencia sobre vulnerabilidades de seguridad como el cross-site scripting (XSS)
  • Como proyecto del sector con una función similar, se pueden recomendar las guías de seguridad de OWASP
  • Este artículo ayuda a elevar la conciencia sobre seguridad y destaca la importancia de considerar la seguridad al registrar nombres de empresas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-10-26
Comentarios de Hacker News

  • Un usuario compartió un caso en el que abusó del sistema operativo Windows y del software antivirus en una terminal de estacionamiento. Codificó la cadena de prueba EICAR en un código QR y la pasó por el escáner, lo que hizo que una ventana emergente del antivirus cubriera la pantalla de la terminal y la volviera inutilizable

  • Un excelente caso de troleo que terminó requiriendo un cambio en la ley: se modificó para impedir que los nombres de empresas pudieran incluir código informático

  • En 2014 hubo un caso de un conductor en Polonia que agregó una inyección SQL a su placa para evitar las cámaras de velocidad

  • Una empresa usó un nombre que incluía etiquetas HTML de script y terminó obligada legalmente a cambiarlo

  • El fundador se llama "ROBERT'); DROP TABLE STUDENTS;", lo que recuerda el famoso caso de Little Bobby Tables

  • Se compartió una experiencia de alrededor del año 2000 en Coke Auction, donde se usó un script para impedir que otras personas pujaron en una subasta. Se consiguieron muchos artículos, pero al final la cuenta fue eliminada y llegó una advertencia de Coke UK

  • Se señala el problema de que en los feeds RSS no está claro si el elemento de título es HTML o texto plano. Atom sí especifica claramente que el elemento de título debe tratarse como texto plano

  • Se menciona que una empresa fue registrada con caracteres que podían generar un riesgo de seguridad, aunque eso no afectó a Companies House en sí, y es posible que la seguridad de algunos clientes haya quedado expuesta

  • El artículo de 2020 trató casos relacionados