Login

u/EduAir1994

▲ 3 r/CharruaDevs

Busqueda de alguien que confirme una vulnerabilidad

Encontré que aparentemente la aplicación de ute mueve expone los datos de pago de tarjetas de los usuarios pero desconozco si esto es efectivamente una vulnerabilidad o no. No me dedico al área de ciberseguridad y lo encontró Claude por mi, así que podría estar completamente alucinando.

Agradecería que si hay alguien que sepa y pueda confirmarla la reporte a las autoridades pertinentes. Seguramente sea tremenda alucinación, no creo que los que desarrollan apps del Estado dejen una forma de scrappear los métodos de pagos asociados con la cédula.

Reporte de vulnerabilidad

https://github.com/eduair94/ute-mueve/blob/main/docs/security/2026-05-20-VR-001-idor-customer-card.md

reddit.com
u/EduAir1994 — 1 day ago
▲ 94 r/CharruaDevs

¿Alguien envió algún reporte? Entiendo basta con descomprimir la app y analizarla. Tienes las credenciales expuestas así como los métodos para obtener la información de los usuarios.

Consecuencias de que no haya un programa de bounty Hunt para vulnerabilidades del gobierno.

Ahora básicamente por usar la app de identificación gubernamental ya saben donde vivis, tu email, tu firma electrónica y otros datos nuevos que no se han filtrado hasta ahora

App qué por cierto es necesaria para tramites online. Pueden hacer un mapa de uruguayos y ver donde vive cada uno, encontrar víctimas para estafas (mayores de edad que vivan solos en zonas de alto poder adquisitivo) y otro montón de cosas más.

Pueden mandar campañas de phishing a las personas identiifcandolas por sus nombres y otros datos sensibles.

u/EduAir1994 — 15 days ago
▲ 1 r/SideProject

made whatsapp.checkleaked.cc. you paste a phone number, it checks if its on whatsapp and shows you the public profile picture + name + business flag if applicable. free webapp, plus a paid api for people doing it at scale.

the actual problem im posting about isnt the product, its that my landing page has an identity crisis.

half my traffic is devs who want the api and the json examples and the pricing per request. the other half is normal people who googled "is this number on whatsapp" because some random number messaged them. those people land on a page full of curl commands and bounce in 3 seconds.

currently im trying to serve both on the same page and i think im serving neither. options im considering:

  • two separate pages, /api for devs and / for normies
  • one page but lead with the free tool and hide the api stuff lower
  • just accept the bounce and move on

what would you do? has anyone had this same split-audience problem.

ps the name is bad i know. it was already an existing project of mine and i added the subdomain in like 5 mins. now im stuck with it.

reddit.com
u/EduAir1994 — 20 days ago