HackingSeguridad

Falla de seguridad de Caracol Play permite ver cualquier video gratis sin una suscripción

Caracol Play es el servicio por suscripción de Caracol y tiene en su plataforma series, telenovelas, documentales y contenido gratuito y premium. Algunas series web de Caracol Play están disponibles completas sin pagar.

Con una cuenta gratis se puede acceder al primer capítulo de cualquier serie o telenovela, pero para ver la totalidad de capítulos se debe pagar una suscripción mensual (a la fecha de publicación de este post, el valor es de $79.900 anual).

Sin embargo, la plataforma tiene un fallo de seguridad que abre la posibilidad de acceder a la totalidad de contenidos sin necesidad de tener una suscripción paga.

Los nombres de archivos son una parte del desarrollo de los sitios web que se suele descuidar. Ciertas páginas que cobran por el contenido olvidan que es muy fácil examinar los nombres de los archivos y encontrar la ruta para ver contenidos supuestamente ocultos, pero que son públicos.

El error en la plataforma consiste en que los nombres de las imágenes (.jpg) de cada capítulo coinciden exactamente con el nombre del correspondiente video en streaming (extensión .m3u8). Cualquier persona que ubique el nombre de la imagen mirando el código fuente de la página o abriendo la imagen en una pestaña nueva puede iniciar la transmisión en streaming del capítulo correspondiente.

Por ejemplo, si quisiéramos ver gratis el segundo capítulo de Pedro el Escamoso, que supuestamente está bloqueado, podríamos copiar la URL de la imagen de ese episodio haciendo clic con el botón derecho del mouse:

Copiando la URL de cada imagen es posible ver gratis el correspondiente capítulo.

Para este caso, el nombre del archivo es: thumb_5f7f84bab73470081d31acde_1602196343522.jpg

La parte resaltada en negrita corresponde al nombre del archivo de video.

Examinando el código fuente de Caracol Play, sabemos que todos los videos se transmiten en streaming con la misma estructura en la URL:

https://mdstrm.com/video/[nombre del archivo].m3u8

Si insertamos la parte resaltada, encontraremos el video correspondiente:

https://mdstrm.com/video/5f7f84bab73470081d31acde.m3u8

Este archivo se puede reproducir directamente en el navegador o desde cualquier programa de reproducción de video, como VLC o Quicktime. Con otras técnicas más avanzadas, un usuario podría descargar la serie completa.

Esta información se publica con el fin de demostrar un fallo de seguridad extremadamente simple. Es un error que se solucionaría si en la base de datos los dos archivos no compartieran el mismo nombre o si se utilizara algún tipo de encriptación para nombrar estos archivos.

4 comentarios en «Falla de seguridad de Caracol Play permite ver cualquier video gratis sin una suscripción»

  • Gracias, me sirvió. Sólo que hay que agregar en Chrome la extensión de reproductor m3u8 para que reproduzca

Los comentarios están cerrados.