I never told this story because it would have been illegal to share details. But the statute of limitations has run its course.

In 2024, while building Skip, I accidentally discovered what is possibly the biggest data leak in Chile. I can’t say which platform, but given what we did at Skip you can probably guess. If you’re Chilean and reading this, I’m almost certain you were part of it.

Working on integrations for our users, something didn’t add up. It nerd-sniped me. I traced it to a database on what I’ll call a “legacy” system (your typical massive enterprise engine). After a few solid hours and getting to something promising, I realized I’d need several more hours to develop a payload and a delivery method. I was fully focused on Skip, and in the pre-AI era this was a lengthy process: reading ancient documentation and digging through obscure Stack Overflow threads.

Enter Alister Mac Cormack. I told him what I’d found through a secure channel. If I knew one person capable of exploiting this system quickly, it was him. I wasn’t wrong. Within a few hours, well into the early morning, Alister had a working payload. I connected and we managed to fully exploit the system.

I was honestly nervous. I’d done similar things before, but never at this scale. I felt vertigo. We decided to stop poking around and do what’s known as “responsible disclosure” to CSIRT.

CSIRT (now under ANCI) is the organization that responds to cybersecurity incidents of national relevance. I had low expectations. In less than 24 hours the incident was resolved and Alister was added to the hall of fame.

CSIRT Muro de la Fama main page

The Wall of Fame recognizes “true hackers” who collaborate selflessly with institutional security

Wait, Alister? What about me?

Fun story: we sent the disclosure from Alister’s email, so they didn’t include me (even though we mentioned in the email that this was joint work). I got salty. I started researching whether the same method worked on other platforms. Surprise: it did. I put together an extensive report with mitigation measures, and was finally included. (Yes, that’s why Alister is at position 182 and I’m at 192. Apparently I filed the last report of the year.)

CSIRT Hall of Fame 2024 showing positions 182 and 192

182 Alister MacCormack. 192 Fernando Smith. Last entry of the year.

Why am I telling you this?

2024 was the last year CSIRT ran the Wall of Fame. The wall rewards and incentivizes ethical hackers. This isn’t just a government thing – the private sector does it too. Companies like Fintual have bounty systems where they pay you for reporting vulnerabilities. You can see their hall of fame and their security policy. It’s an industry standard.

Fintual's bug bounty security policy

Fintual’s bug bounty program: $100 to $10,000+ depending on impact

A dataset like the one I obtained could sell for hundreds of millions on the dark web and affect the lives of millions of people. We got a wall entry and a thank-you email. For me, that was enough.

My call to action: ANCI should reinstate the Wall of Fame. Especially now that AI is doing two things at once: it makes hacking easier, and it enables less experienced people to vibecode projects handling sensitive data, creating far more vulnerabilities. CodeRabbit found that AI-generated code has ~1.7x more bugs and up to 2x more vulnerabilities without an engineer supervising.

We need more incentives for white hats, not fewer.

Nunca conte esta historia porque seria ilegal dar detalles. Pero ya prescribio lo suficiente.

En 2024, mientras desarrollaba Skip, por accidente descubri posiblemente el data leak mas grande de Chile. No puedo decir de que plataforma, pero por lo que haciamos en Skip podran imaginarse. Si eres chileno y estas leyendo esto, casi te aseguro que fuiste parte.

Trabajando en integraciones para nuestros usuarios, algo no cuadraba. Me nerd-snipeo. Llegue hasta una base de datos en un sistema digamos “antiguo” (tipico motor enterprise gigante). Despues de unas buenas horas y llegar a algo prometedor, me di cuenta de que necesitaba varias horas mas para desarrollar un payload y un metodo de envio. Estaba full enfocado en Skip, y en epoca pre-AI esto era un proceso largo: leer documentaciones antiguisimas y buscar threads obscuros en Stack Overflow.

Aqui entra Alister Mac Cormack. Le conte lo que habia encontrado a traves de un medio seguro. Si conocia a una persona capaz de explotar este sistema rapido, era el. No me equivoque. A las pocas horas, ya en la madrugada, Alister tenia un payload funcional. Me conecte y logramos explotar el sistema de forma total.

Honestamente estaba nervioso. Habia hecho cosas similares antes, pero nunca a este nivel. Senti vertigo. Decidimos no seguir dando vueltas en el sistema y hacer lo que se conoce como “responsible disclosure” al CSIRT.

El CSIRT (ahora bajo ANCI) es la organizacion que responde a incidentes de ciberseguridad de relevancia nacional. Le tenia poca fe. En menos de 24 horas el incidente estaba resuelto y Alister fue anadido al hall of fame.

Pagina principal del Muro de la Fama del CSIRT

El Muro de la Fama reconoce a los “verdaderos hackers” que colaboran desinteresadamente con la seguridad de las instituciones

Espera, Alister? Y yo?

Fun story: enviamos el disclosure desde el email de Alister, asi que no me incluyeron (aunque en el email mencionamos que fue trabajo conjunto). Me pique. Me puse a investigar si el mismo metodo funcionaba en otras plataformas. Sorpresa: funciono. Confeccione un reporte extenso con medidas de mitigacion, y finalmente fui incluido. (Si, por eso Alister aparece en el puesto 182 y yo en el 192. Al parecer hice el ultimo reporte del ano.)

CSIRT Hall of Fame 2024 mostrando posiciones 182 y 192

182 Alister MacCormack. 192 Fernando Smith. Ultima entrada del ano.

Para que les cuento todo esto?

El 2024 fue el ultimo ano en que el CSIRT hizo el Muro de la Fama. El muro premia e incentiva a los hackers eticos. Esto no es solo de gobiernos, el sector privado tambien lo hace. Empresas como Fintual implementan sistemas de recompensas donde te pagan por reportar vulnerabilidades. Puedes ver su hall of fame y su security policy. Es un estandar de la industria.

Security policy de bug bounty de Fintual

El programa de bug bounty de Fintual: $100 a $10,000+ dependiendo del impacto

Un dataset como el que obtuve podria venderse por cientos de millones en la dark web y afectar la vida de millones de personas. Nosotros obtuvimos una entrada en el muro y un email de agradecimiento. Para mi fue suficiente.

Mi llamado: que ANCI vuelva a instaurar el Muro de la Fama. Especialmente ahora que la IA esta haciendo dos cosas a la vez: facilita el proceso de hackear, y habilita a gente con menos experiencia a vibecodear proyectos con informacion sensible, generando muchas mas vulnerabilidades. CodeRabbit concluyo que el codigo generado con AI tiene ~1.7x mas bugs y hasta 2x mas vulnerabilidades sin un ingeniero supervisando.

Necesitamos mas incentivos para los white hats, no menos.