Strava Photo Downloader & Strava Kudos Tool, nuevos scripts para Strava hacks script collection

30 noviembre, 2022 at 20:49

Dos nuevas herramientas se han sumado recientemente al proyecto Strava Hack Tools. Se trata del Strava Photo Downloader Script y del Strava Kudos Tool, dos scripts que prometen facilitar la vida a los usuarios de Strava que aman la línea de comandos, desean automatizar la descarga de fotos y automatizar la entrega de kudos a sus amigos.

Strava Photo Downloader Script

Es una herramienta útil para descargar de forma masiva todas las imágenes asociadas a un perfil de usuario. Esta herramienta no utiliza la API de Strava para acceder a las fotografías, si no que realiza Web scraping. Para utilizarla, debes tener una cuenta en Strava y proporcionar tu nombre de usuario y contraseña. También debes proporcionar el ID del atleta cuyas fotos deseas descargar. Por defecto se intentarán descargar todas las imágenes disponibles en la mayor resolución posible. Es posible que Strava imponga un límite de 100 fotografías públicas en los perfiles de los usuarios.

Ejemplo, Descargar todas las fotografías de un amigo desde el feed

python strava_photo_downloader.py -l youremail@domain.org yourpassword -a 12345678
Ejemplo de descarga de imágenes

Strava Kudos Tool

Es una herramienta diseñada para automatizar la entrega de kudos a tus amigos en Strava. Kudos es una forma de mostrar apoyo y reconocimiento a otros usuarios en Strava. Cuando das kudos a alguien, estás diciéndole que te gusta lo que ha hecho y que lo aprecias. Si eres alguien que sigue a muchos atletas y luchas por mantenerse al día con la entrega de kudos, esta herramienta puede ayudarte a ahorrar mucho tiempo y energía. Te permite, entre otras cosas, buscar kudos no asignados a definidos usuarios o clubes, en periodos de tiempo específicos, para luego entregarles kudos en consecuencia.

La herramienta funciona al filtrar el feed de actividad del usuario y proporcionar kudos a todas las actividades que cumplan con ciertos criterios. Los usuarios pueden especificar qué tipos de actividades deben recibir kudos y si la herramienta debe filtrar por club o seguidores. Al igual que otros scripts, el Strava Kudos Tool también requiere que los usuarios proporcionen sus credenciales de inicio de sesión para funcionar.

Ejemplo, Asignar Kudos a todas las actividades de un club específico.

python strava_kudos_tool.py -l youremail@domain.org yourpassword -ft club -c 12345678
Dar kudos a todo mi feed sin filtros.

Es importante destacar que tanto el Strava Photo Downloader Script como el Strava Kudos Tool tienen algunos riesgos asociados con su uso. Strava tiene límites para ambos casos, como indica en su documentación oficial, y es posible que los usuarios corran el riesgo de ser bloqueados o restringidos si abusan de estas herramientas.

Debilidades de Strava y mi colección de Hack tools

15 marzo, 2017 at 10:46

Hace 1 año exactamente que publiqué estos script en Github ( https://github.com/dalacost/strava_hack_tools ) y no había tenido mucho tiempo para hablar de ello. La idea de fondo detrás de este script ( strava_traces_downloader.py ), la cual es permitir múltiples descargas de muchos tracks de ejercicios en Strava de forma rápida y sencilla, con un solo comando.

Hay que destacar que Strava si tiene un API bastante desarrollada, que permite acceder a un montón de datos, pero eso está disponible principalmente para los usuarios logeados. Es decir si no tienes una cuenta de strava no tienes mucho que hacer.

 

En Strava no puedes bajar los GPX de otros usuarios si no eres Premium, pero si reconstruirlos ilegalmente.

Es el primer problema que tienen los usuarios cuando quieren de alguna forma poder tener en su poder y manipular las rutas, ya sea por que desean tener una copia en sus gpx, teléfonos o algo más.

Lo que te encuentras cuando no eres usuario Premium y ni hablar si no eres Usuario.

Esto es algo que en lo personal no le encuentro mucho sentido, pues esta supuesta «seguridad» se ve afectada por una de las mejores «habilidades» de la plataforma, los mapas interactivos. Como muchos programadores ya sabrán, al utilizar las APIs más comunes de mapas interactivos, normalmente se requiere que se precarguen los puntos de las lineas o polígonos en algún lugar, de preferencia oculta al usuario. Y Aquí está lo interesante de todo esto, pues si los puntos existen, entonces ya podemos comenzar a reconstruir el archivo original del track.

Una solución para evitar este problema es cargar estas líneas como imágenes, pero pienso que no lo hacen por que reduce notablemente la interacción con el usuario. En resumen, es una ventaja para nosotros.

Los mapas interactivos tienen los puntos definidos en algún lugar, en este caso en el XML streams, con lo que podremos reconstruir el GPX

Suena sencillo no? Unir toda esta información que está en el mismo mapa para reconstruir manualmente nuestro track original con la información mas o menos verídica. Y es que no solo podemos tener los puntos sino que con algo de trabajo podríamos reconstruir totalmente el GPX original (Algo que todavía no he completado al 100%).

El resto de la información necesaria.

 

En Strava los registros son correlativos, ups..

Algo que me llamó la atención y que facilita notablemente la manipulación masiva de información en strava, es que los registros son correlativos a partir de su ID, el truco está en la URL.  Tanto las actividades como los números de los Atletas son correlativos.

mi actividad ha sido la numero 857millones! impresionante. Cambia el número manualmente y será más impresionante.

Si nos pusiéramos a trabajar con esto podríamos tener un montón de cálculos, solo por decir algunos podríamos tener el numero de actividades por día/hora/mes/etc…  número de usuarios activos x día, etc.. Lugares del mundo donde tienen más usuarios, etc … un sin fin de información que Strava no comparte pero que potencialmente está disponible.

Lo mismo sucede con las URL correspondiente a las fichas de los Atletas, con lo que también se podría acceder potencialmente a un montón de información de cada uno.

Los invito a hacer una prueba y cambiar el número de su actividad o el numero de su Atleta por el inmediatamente siguiente.

strava_traces_downloader.py

Este Script en resumen aprovecha estas 2 debilidades en un solo script de multiples funciones :), Reconstruye el archivo GPX a partir de estos datos disponibles, evidentemente sin necesidad de ser Premium, ocasionalmente cuando no estas logeado la cantidad de puntos disponibles es menor, en algunos casos puede llegar a ser 100 puntos máximo. Por lo que es recomendable utilizar un usuario de Strava para descargar el track.

Les dejo algunas imágenes y pueden encontrar más detalles en el sitio del proyecto en GitHub (https://github.com/dalacost/strava_hack_tools)

Bajando un Track reconstruido de una actividad específica. Sin hacer Login.

 

Si bajas la actividad con tus datos de usuario de Strava puedes tener la posibilidad de bajar más puntos, en este caso 6916puntos v/s 6375 sin login.

 

Descargando todo el rango de actividades a partir de su id, en este caso desde la XXX08 a la XXX20, algunas fallan pues esas actividades no están disponibles, son privadas o fueron borradas.

 

Los invito a descargar el https://github.com/dalacost/strava_hack_tools y ver que pueden hacer todos los datos.

 

Minihistoria de Intendo de Phising al banco santander

17 febrero, 2010 at 18:16

Uno de los mayores problema que tiene la seguridad informática, es la capacidad de los usuarios para descubrir cuando están siendo víctimas de un engaño o de una trampa basada en ingeniería social.

El phising es el termino asignado a un tipo de ingeniería social por el cual se trata de acceder a información confidencial del usuario engañándolo, capturando su atención y creando una situación donde es el mismo usuario quien le entrega la información al delincuente sin percatarse de que esto ocurre.

En Chile este tema no es menor, la cantidad de mensajería donde se intenta aplicar phising crece rápidamente y los delincuentes han aumentado notablemente sus técnicas. A pesar de que la cultura en Chile tiende a ser bastante desconfiada, el engaño vía internet tiende a poner en jake a sus usuarios, básicamente por su poca experiencia y reducida cultura tecnológica.

Hoy me ha llegado este correo, donde se me indicaba que un usuario había estado tratando de acceder a mi cuenta bancaria y que por razones de seguridad esta había sido bloqueada. Se me solicita entonces que valide mi identidad para habilitar nuevamente la cuenta. Segundos más tarde mi cara contenía una enorme sonrisa, al darme cuenta que esto un bil engaño.

Cualquier usuario que le interesa mantener sus datos en privado y ahorrarse de paso un mal rato, debería al menos considerar preguntarse estos puntos antes de aceptar las instrucciones de cualquier mensaje.

  • ¿Mi banco realmente envía estos correos en casos como este? ( cuando se han intentado acceder muchas veces a una cuenta y está queda momentáneamente bloqueada)
  • ¿El remitente es real?
  • ¿El link que aparece en el mensaje realmente apunta a la misma dirección?
  • ¿La dirección url está bien escrita? ( generalmente se utilizan caracteres similares para tratar de engañar al usuario, como por ejemplo cambiar la l (letra L en minúscula) por la I (letra i latina en mayúscula) )
  • ¿Donde está el certificado de autenticidad del sitio o de seguridad por https? ( generalmente los sitios serios, como los bancos, requieren utilizar certificados de autenticidad validados por entidades confiables )
  • Llamar a la mesa de ayuda REAL no a la que sale en el mensaje.

Siempre es recomendable que los usuarios comiencen de la premisa que el mensaje que le ha llegado, es falso y que le tratan de engañar. Luego de verificar alguno de los puntos anteriores, entonces recién podría comenzar a sospechar que el mensaje podría ser verdadero 😀

Las siguientes imágenes corresponden al mensaje que he recibido, en el se puede ver claramente como la url incrustada en el mensaje no corresponde realmente a la que dice ser.

phising_banco_santander_0

Una vez dentro del sitio falso que han preparado para nuestro engaño, podemos confirmar que efectivamente el url sitio no corresponde con el original, a pesar que el sitio parece totalmente autentico.

 

phising_banco_santander_2

Bueno, este intento fue frustrado ( por ahora ). El banco santander frente a estos ataques solo se lava las manos e indica en su pagina web que no envían mensajes por correo. Pero seguramente debe ser mucha gente la cae en estos trucos, por eso aún se siguen enviando…

¿Y al final de quien es la culpa?

Estabilidad en htcnetworks.cl

10 marzo, 2009 at 20:41

htcnetworks, la red tecnológica más famosa en curacautin city y sus alrededores, nos deleita una vez más con una demostración de lo importante que es para ellos la seguridad informática.

Pantallazo-2

 

Crónica del robo de la identidad digital de Christian Van Der Henst.

23 febrero, 2009 at 09:46

Christian Van Der Henst creador de Maestros del Web y Foros del Web las 2 comunidades más grandes de desarrollo web en habla hispana disponibles en Internet nos cuenta la cronologia de hechos que le llevo a perder su Identidad digital y como logro recuperarla luego de el gran ruido que provoco en Internet hace unos dias. Os dejo con ustedes la historia redactada por el mismisimo Christian Van Der Henst, adicionalmente he dejado una entrevista realizada por blogoff en la cual cuenta la historia en audio al comienzo de este post:

Gracias nuevamente a todos por el apoyo para que lograra recuperar el control de los dominios en mi cuenta de godaddy, lo que también me ha ayudado a recuperar control de mi identidad digital.

Ahora, intentaré relatar los detalles de la historia para que sepan como pasó todo:

El sábado pasado recibimos un correo sospechoso de alguien intentando ingresar a nuestra cuenta de hosting. Reportamos esta situación de inmediato a Liquidweb (nuestro proveedor), aunque no era nada de riesgo, ya que cualquiera puede generar estos emails pidiendo recuperar un password. Esta fue la primera alarma.

El día domingo por la noche (hora de Tokyo, de mañana en America) recibí un correo confirmando cambios administrativos a los dominios que tengo alojados con Godaddy. Dicho correo tiene además una cuenta de correo donde se pueden tomar acciones si no se han soliticado dichos cambios. De inmediato mandé el correo. Y así mismo, fuí a twitter a avisar la situación. A continuación, aquí mismo en el foro, publiqué un mensaje notificando que había perdido control de los dominios y que estaba investigando que había pasado.

Javier -aka j_aroche- leyó el tweet (por lo que incluso antes que lo contactara fué a nuestros servidores a cambiar contraseñas y hacer backups frescos de toda la info (aunque teniamos el backup del día anterior).

Hice cambios de password en Gmail, Google Apps, Twitter y otros servicios y finalmente llamé por teléfono a Soporte de Godaddy. Requerian mi confirmación de los últimos 4 dígitos de la tarjeta de crédito en mi cuenta, pero no pude darlos porque dicha cuenta la pago con Paypal. Me dijeron que contactara por mail al departamento de abusos.

Recibí un correo preguntándome si quería recuperar la cuenta. Pero jamás pasó por mi cabeza negociar con nadie que pudiera ser el responsable.

La mañana siguiente a los cambios en los datos de los dominios se agregaron cambios a los DNSs, por lo que habíamos perdido los sitios y además, todos los correos @maestrosdelweb.com (incluyendo mi cuenta personal) estaban llegándole a alguién más. Quien tuvo control de los dominios puso una página en mantenimiento fuera de nuestro control.

Al tener acceso a recibir mis correos empezaron a solicitar algunas de mis contraseñas, incluyendo Gmail, DynDNS (donde gestionábamos los dnss de los dominios), facebook y otras como Plaxo, Popego, etc. Yo veía algunos mails, porque los MX del dominio no se habian reflejado en todos lados. Me puse entonces a cambiar usuarios, emails e incluso a eliminar cuentas en servicios que realmente no usaba nunca. Borre cuentas, cambie mails… Pero lamentablemente avisaba de los cambios al atacante, porque al menos en el caso de servicios como Facebook, manda un mail para confirmar el nuevo email y manda otro mail al viejo email para que invalides el cambio si crees que es un error.

Luego de esto y a pesar de haber cambiado datos en mi cuenta de Gmail (la que ademas era la asociada con algunos de los dominios -no todos), perdi acceso a la cuenta. En principio porque cuando fue creada, como email de emergencia quedo una cuenta @maestrosdelweb.com a donde podía solicitarse recuperar el password. Intenté recuperar la cuenta desde el formulario de google pero el número de intentos para esto había sido superado (así que alguien lo había intentado antes). Contacté a algunos amigos en Google para ver si podian apoyarnos, pero ese día era feriado en Estados Unidos, por lo que habían aprovechado un finde largo donde la respuesta de los proveedores podía ser más lenta que de costumbre.

Para entonces, recibí respuesta del área de Soporte de Godaddy, confirmándome que tenía que hablar con su departamento de abusos. Mandé mails al departamento de abusos y ellos me dijeron que tenía que hablar con soporte.. Me tenían en un loop y se hacian los desentendidos. Ese día hablaría con muchas más personas en soporte. Unos de ellos me redirigieron al soporte de Wild West Domains (es una empresa asociada a Godaddy pero jamás he hecho negocios con ellos). Y otro chico más tajante me dijo que lo sentía, que mis datos no aparecian en la cuenta y que por la historia que le comentaba era un tema legal. Que buscara un abogado y viera en su sitio la información de resoluciones con la ICANN, que en serio no podían hacer nada por mi caso.

Ese mismo lunes, accesaron al panel de pago de nuestro proveedor de hosting y solicitaron cambiar passwords de servidores para buscar accesar, incluso llamando por teléfono con información que habian conseguido de mi persona. Javier estaba pendiente de esto y cuando vió actividades sospechosas fuimos al teléfono y pasé parte de todo el día validando mi identidad con Liquidweb asegurándome que la cuenta estuviera en hold hasta que verificaran al verdadero dueño. El plan desde el principio fue poner a funcionar los servidores en otros dominios mientras recuperábamos los nuestros, pero cuando vimos que mi identidad se estaba intentando suplantar incluso en vía telefónica decidimos apagarlos para garantizar que la información estaba segura.

Ese día, muchas personas y amigos cercanos ya me contactaban por mensajería instantánea preguntándome datos que solo nosotros sabiamos. No sabian con quien hablaban. Por este detalle, les agradezco mucho a todos.

El martes seguía sin encontrar un camino para hablar con Godaddy, así que seguí avanzando con información legal que me hicieron llegar varios amigos para ver los caminos que tenía. Empezó a llegar la ayuda de varios blogs y sitios que comentaban la historia y habían más tweets de apoyo. Los tweets hacia el usuario @Godaddyguy confirmándole que el dominio de maestrosdelweb.com llegaron a ser más de mil en 24 horas.. Tuvimos la primera respuesta positiva de ellos.

Ese martes por la noche, conversé con Pere de tonterias.com, quien tuvo que batallar varios meses para recuperar su dominio y me dijo que fuera directamente a hablar con presidencia de Godaddy. También estoy muy agradecido por compartirme su historia y darme valiosos consejos para proceder.

Cuando hablé con presidencia en Godaddy ya estaban al tanto del caso por los tweets, getsatisfaction y ruido en la blogósfera. Me dieron los mecanismos para validar mi identidad y solicitar recuperar los dominios. El proceso iba a ser de un dominio a la vez, así que pedí recuperar los 10 más importantes. Para entonces, me importaban poco el resto (unos 30 dominios adicionales).

Unas horas más tarde logramos que los dominios estuvieran de regreso. Y ya con los dominios poco a poco vamos recuperando los sitios y accesos a algunos servicios. Me falta mucho por investigar y en el camino he ido recolectando muchas pistas de los responsables. Estoy asesorándome legalmente también para seguir el caso hasta donde sea posible. Esto no va a terminar hasta que agotemos recursos.

Aciertos

– Haber hecho ruido desde que todo esto empezo. No quedarme callado, ni intentar resolver nada en privado con quien sea el responsable.
– Usar el teléfono antes que el email, aunque me encontré que con muchos proveedores no hay otro camino más que el digital.
– Al ver la posibilidad de que siguieran recuperando mis cuentas, fuí directamente a asegurarme nuevos accesos, con datos frescos, siempre reales (y comprobables) para asegurar que siguieran vinculando a mi identidad real.

Deshaciertos
– Tener demasiadas cuentas registradas con un solo email. Cuando perdí el acceso a mi dominio, fue muy fácil que empezaran a ganar accesos. De nada sirvió tener una serie de passwords.
– El mismo lunes ibamos a intentar poner a funcionar el foro en otro dominio temporal. Pero debí pedir que los servidores se apagaran de inmediato cuando empecé a ver las dimensiones del ataque. Y seguía dependiendo de servicios anteriores de los que no tenía constancia si habían sido vulnerados de alguna forma.
– Cambié passwords en mi cuenta de Gmail, pero no pensé en todas las formas en que pudieran obtenerla, incluyendo lo del email de emergencia.
– El sueño y la intranquilidad no son buenos amigos para que pienses rápido y actues en consecuencia.

 

 

Hackean Forosdelweb.com, maestrosdelweb.com y las cuentas personales del creador Christian Van Der Henst

19 febrero, 2009 at 11:06

Sin sospecharlo ayer ya estaba teniendo problemas al accesar a algunas informaciones de forosdeweb, hoy me entero por el video que han colgado en su web que la que es quiza la web mas visitada en internet en asuntos de programacion web ha sido hackeada. La noticia ha recorrido desde ayer muchos blog en Internet he leido mas detalle en  alt1040 del cual cio un extracto de los hechos :

«Los eventos sucedieron, más o menos, así:

  1. Christian Van Der Henst cuenta por medio de su Twitter: «Fuck, alguien logro accesar a mi cuenta de Godaddy y cambio los datos de mis dominios», refiriéndose a Maestrosdelweb.com.
  2. Christian contacta a PayPal para que lo ayuden, sin éxito.
  3. El o los cybersquatters cambiaron los DNS de los dominios y también se apoderaron de su cuenta de Facebook.
  4. Teniendo el dominio maestrosdelweb.com ya apuntando a otro servidor, recrean el e-mail personal de Christian y tratan de apoderarse de su hosting, sin éxito.
  5. Hace casi tres horas (de escrito este post) se apoderan de su cuenta de Gmail. «

A continuacion dejo el video que han colgado en la web por estos momentos: