Loading ...La seguridad de los que manejan nuestro dinero
Yo es que no se para que, en mi trabajo, me pego horas y horas de asegurar los datos que tenemos, cumplir la Ley de protección de datos, los estándares PCI, pasar auditorias de seguridad … si luego, ves como los que tendrían que hacer esto con una pulcritud y severidad extremas, se pasan por las narices las normas básicas de seguridad.
En conocida empresa de esas que te dejan "dinero rápido" para gastarte en lo que quieras y luego te lo cobran al 22% de comisión, navegando por su web me encuentro con un pequeñito fallo de seguridad (por decirlo de forma cínica). Resulta que si visitas su página web pero te da por poner después del dominio, el propio nombre de la empresa .txt (cosa que me ha salido de puta chiripa porque intentaba ver el robots.txt y se me ha ido la cabeza), ves algo del estilo:
¡Ups, anda, que cosas! Si son los datos de acceso a su servidor y a su base de datos. Uy, que despiste de algún (que se hace llamar o pone en su contrato) "administrador de sistemas" que ha dejado un lindo fichero de texto con los datos por si acaso está en la playa y se le olvida como entrar a la máquina.
Ni me atrevo a entrar esos datos ni lo voy a hacer, porque no quiero ni pensar lo que me puedo encontrar con ellos en una empresa que maneja dinero de la gente, cuentas bancarias y datos muy personales de los que "confían" su dinero.
Otro ejemplo más a la saca de la mierda de seguridad que hay en nuestro país en páginas muy gordas.
Relacionadas , Por razones de seguridad, no se muestran las espadas, Seguridad en el trabajo a la thailandesa, Seguridad en el trabajo, Seguridad laboral
octubre 11th, 2009 at 6:31 pm
HOSTIA! pero si es cof…….. dios,esta si que es buena
octubre 11th, 2009 at 7:53 pm
Es muy fuerte !!!
Por si no se habia hecho ya, he intentado avisarles desde su formulario de contacto, pero al pulsar en enviar no hace nada
Yo o algun conocido se he encontrado otras veces con problemas similares y muchas veces no te hacen caso. Alguna vez me da por probar algun SQL Injection (solo probar) y hay muchos sitios que aun son vulnerables …
octubre 11th, 2009 at 8:16 pm
Pues parece que el admin se ha ido de puente porque sigue ahí xD
A ver si podeis entrar a la DB y cancelarle a mi madrina el credito..
octubre 11th, 2009 at 8:43 pm
Dios, he adivinado de que web se trata… menudo despiste, sabiendo usar esos datos (yo no sé) se puede hacer un desastre, como se dice en mi tierra.
octubre 11th, 2009 at 9:17 pm
Joder yo también he accedido a esos datos…
octubre 11th, 2009 at 9:35 pm
No conecta por telnet (23) ni SSH (22), ni FTP.
No conecta a la base de datos (probado con Heidi MySQL client. Acceso denegado para usuario, blablablabla.
Esos datos a saber de cuando son.. y a saber desde donde se puede tener acceso (es muy posible que solo se pueda desde red local).
Eso si, el articulo ‘hacker’ te ha quedado muy efectista.
octubre 11th, 2009 at 10:07 pm
Venía directo a comentar que me parece un poco irresponsable publicar aquí los datos si realmente son tan sensibles… hasta que he visto el comentario de Azrael.
Espero que tenga razón Azrael y esos datos no sirvan para nada, porque si no me parece que tienes tu más “delito” publicandolos que el administrador que los dejó ahí por error.
octubre 11th, 2009 at 10:36 pm
Seguridad máxima, oye…
octubre 11th, 2009 at 11:15 pm
Al segundo intento. Probé antes de leer los comentarios.
Tela.
octubre 12th, 2009 at 12:39 am
Yo no pienso que sea irresponsable publicar aquí los datos. En realidad le haces un favor a la empresa, ya que puede tomar medidas (pidiendo responsabilidades, despidiendo al administrador).
Por ejemplo cada vez que sale un parche de seguridad de cualquier programa, los hackers tienen carne de cañón. Es responsabilidad de los administradores percatarse primero y actualizar a la última versión.
Es mejor avisar que callarse, ya que otra persona malintencionada podría beneficiarse. La solución de comunicarlo directamente a la empresa es éticamente más acertada, pero casi seguro que tu email no llegará al departamento técnico apropiado.
octubre 12th, 2009 at 2:47 am
Pero a ver.. alguien es capaz de hacer algo con esos datos? Porque yo lo unico que veo es un archivo de texto que no tiene ninguna utilidad.. ni buena ni mala. A efectos practicos, es como si me invento yo los datos.
octubre 12th, 2009 at 4:46 am
Cuando estudié seguridad de redes, aprendí que una estrategia importante, consiste en provocar a posibles intrusos a intentar determinadas acciones, monitarizándolas y haciendo saltar alguna alarma. Con eso consigues ir por delante del atacante.
Aunque en este caso tal vez tengas tu razón… o no…
octubre 12th, 2009 at 10:50 am
Oye!!! Y nadie puede entrar y cancelar todos los prestamos y que se vayan a la mierda….???? Tengo dos creditos con ellos y la verdad tuve verdaderos problemas con ellos al principio…
octubre 12th, 2009 at 12:05 pm
La primera IP no conecta. La segunda sí. He probado todas las combinaciones (2*2 = 4, vaya…) user/pass del TXT y todas me dan acceso denegado.
O son datos viejos, o están ahí para despistar (no creo, ya os digo que la segunda IP sí conecta)
En cualquier caso me parece muy cutre por parte del que lo haya dejado ahí… siempre conviene tener este tipo de datos o fuera del document root o bajo un .htaccess con un deny from all…
octubre 12th, 2009 at 12:45 pm
En la primera IP, acceso cliente, ponéis el usr y pass y dice… el usuario está bloqueado xD
octubre 12th, 2009 at 4:10 pm
Anda que menudo estás hecho Álex, esos datos son falsos, has caido como un auténtico lammer.
octubre 12th, 2009 at 9:02 pm
Menuda estás hecha Jinna, escribes “lammer” como una auténtica lamer…
octubre 12th, 2009 at 9:27 pm
MeriLET… has visto el enlace que has puesto? porque en la URL pone bien clarito laMMer…
octubre 13th, 2009 at 2:02 pm
Hace tiempo tenía suerte de ponerme con un proyecto viejo. Hace años en PHP los variables de la petición fueran globales. Es decir, $_POST['nombreVariable'] == $nombreVariable. Todo el código estaba hecho con los variables globales tipo $nombreVariable. Necesitaba o cambiar configuración del servidor para que funciona en modo compatible con variables globales (que es muy peligroso y el código se hace incontrolable), o tenía que revisar todo el código cambiando $nombreVariable por $_POST['nombreVariable']. Uno, para ahorrar el tiempo, me dijo que haga lo siguiente:
foreach ($_POST as $clave => $valor) {
$$clave = $valor;
}
Lo mismo para $_GET.
O sea, es lo mismo como cambiar configuración del servidor para que funciona en modo de variables globales. Le dije que esto no es seguro, pero me respondió “Es igual. Si no entran por un agujero, siempre pueden reventar el servidor entrando a través de otro fallo.”
Curioso…
octubre 13th, 2009 at 2:09 pm
Iba a poner que habia entrado en la web y cancelado mi deuda… pero creo que algunos no entenderían la broma.
octubre 13th, 2009 at 6:54 pm
Evidentemente NooBS o quien seas…
El término “lammer” redirige a “lammer” puesto que la entrada con dos “m” no existe. Búscalo en la Wikipedia inglesa si no me crees.
octubre 13th, 2009 at 7:28 pm
Cuanta incosistencia en una misma frase… El término “lammer” redirige a “lammer” puesto que la entrada con dos “m” no existe.
octubre 14th, 2009 at 12:05 am
Una pista,para saber qué caja era,por favor, me muero de curiosidad
octubre 14th, 2009 at 1:44 am
David, no sabes leer¿?¿? la pistaza la tienes en el primer comentario…
octubre 14th, 2009 at 1:22 pm
[...] [...]
octubre 14th, 2009 at 5:26 pm
[...] La seguridad de los que manejan nuestro dinero86400.es/2009/10/11/la-seguridad-de-los-que-manejan-nuestro-… por planck956 hace pocos segundos [...]
octubre 21st, 2009 at 3:14 pm
[...] 86400.es (Que ni pensarlo se atrevio a acceder a los servidores…) accesso, bancos, base de datos, [...]
febrero 13th, 2010 at 2:28 pm
Ya han quitado el acceso. Y si, la primera pistaza tiene un comentario burrisimo, si sabes mirar la caché de google (la de texto)
febrero 13th, 2010 at 8:38 pm
Un poquito más de info
http://www.cofidis.es/cofidis.txt&cd=1&hl=es&ct=clnk&gl=es" rel="nofollow">http://209.85.229.132/search?q=cache:6SiCIypPcdkJ:lostmon.blogspot.com/2009/10/cofidises-pudo-ver-sus-datos.html+cache:+www.cofidis.es/cofidis.txt+http://www.cofidis.es/cofidis.txt&cd=1&hl=es&ct=clnk&gl=es