Me he quedado muy perplejo al comprobar que una empresa a la que le habíamos alertado un agujero de seguridad bastante respetable no ha hecho nada al respecto. Como oportunidad, lógicamente, pues presentamos un presupuesto ofreciéndoles taparles el agujero y poniéndo más seguridad de paso. Existen muchas empresas que se dedican a ésto, pues la verdad, asusta bastante cuando alguien te viene diciendo que tienes un problema y que pagando tantos mil euros te lo arregla. Todo el mundo pide por supuesto pruebas, ya que si no, sería esto la risa. Y además sino, las empresas, creen que estás chantajeando, cuando desde un punto de vista, estás ayudando.
Pero a lo que voy es a que si por ejemplo tienes una tienda de ovillos de lana y te han alertado de un agujero en tu base de datos de ovillos y clientes, pues, sinceramente, no creo que sea necesario invertir mucho en seguridad. Pero cuando la empresa en cuestión ha sufrido la descarga de toda su base de datos, y esta base de datos es el 100% de la empresa, pues preocupa bastante, no sólo que no acepten un presupuesto, sino que pasen absolutamente sintiendo un interés nulo por arreglarlo.
Como no me gusta decir nombres de empresa y no es el plan, al menos, para que se entienda (y también para que podais opinar con más objetividad) diré que la empresa en cuestión es como si dijeramos QDQ o Paginas Amarillas, es decir, una empresa en la que el 100% de la valor de la empresa es, precisamente, su base de datos. Imaginaros que éstas últimas tienen un agujero de seguridad y te pudieras descargar (vamos a poner un ejemplo tonto) de http://qdq.es/bdd_completa.zip todo la base de datos… luego tu haces un diseño y te colocas como otra base de datos de empresas y partículares en Internet.
En fin… que al final, para colmo, el agujero de seguridad en cuestión ya ha salido a la luz, porque ya me lo he encontrado en algún foro de seguridad y la base de datos ya rondará por Internet a poco que busques. Una base de datos que creo que vale millones y que a ésta empresa no creo que le haga ninguna gracia. Ahora en lugar de intentar recibir una ayuda (o digámoslo más empresarialmente hablando, de aceptar un presupuesto) tendrán que velar porque no salga nadie con esa base de datos mejorándo lo presente, que no creo que sea cosa complicada.
Ya lo decía mi tatatatatarabuelo… (supongo)… El que avisa no es traidor
[tags]Seguridad, bases de datos, empresas[/tags]
Nadie ha comentado aki?
Je, je.. sà parece q les hagas chantaje… “soy administrador de sistemas, tienen un agujero como una boca de metro, pero yo se lo arreglo”
PodrÃan comprobar al menos, antes de salir en las noticias, en canal tecnologÃa…
6 de marzo de 2006