Hallazgosf-car-cundinamarca-01
Crítica

Ambiente de no-produccion expuesto en internet (2)

Categoría

API expuesta

Estado

Activo

Confianza

verified

Observado

2026-05-02

Resumen

Subdominios alcanzables: sandbox.car.com.co, preprod.car.com.co.

Por qué importa

Los ambientes de pruebas suelen estar menos parchados que produccion. Publicarlos por nombre en DNS facilita ataques dirigidos.

Trazabilidad

Primera aparición

2026-05-02

Revisión

2026-05-17

Publicación

2026-05-17

Solución

Primera aparicion conocida en findings.json2026-05-02
Revision: promote2026-05-17
Publicado como hallazgo activo2026-05-17

Cómo mitigar

  • Restringir ambientes de no-producción por IP/VPN, nunca por DNS público.
  • Quitar prefijos identificables (dev, staging, uat) de DNS público — usar nombres opacos si la exposición DNS es necesaria.
  • Aplicar el mismo hardening de prod a dev (cuando sea alcanzable externamente).

Entidades afectadas (1)

ID: f-car-cundinamarca-01·Origen: Pipeline territorial