(In)Seguridad

may 052008

Envía tu nombre a la Luna, por un programador junior de la NASA

He visto en el 20minutos que la NASA ha invitado a personas de todas las edades a participar en el próximo programa hacia la Luna. Se trata del envío de un satélite artificial, el LRU, que viajará a la Luna con una base de datos de todos los internautas que así lo soliciten.

Pues bien, la página en cuestión es http://lro.jhuapl.edu/NameToMoon/index.php. En ella un simple formulario con "nombre" y "apellidos" nos deja bien fácil entrar en ese microchip donde se imprimirán todos los nombres recibidos hasta el 27 de junio.

Todo va normal hasta que veo que al dar al botón de enviar, veo rápidamente una pantalla blanca con un texto, que redirige después a la típica de "Felicidades, has enviado correctamente el nombre".

Tras repetir el proceso y detener al navegador veo que pone:

INSERT INTO NamesToMoon (firstName, lastName, submitDate, status) VALUES ('Alex','Dantart', '2008-05-05 04:06:09', 'Y')

Simplemente es la impresión de la cadena SQL que ingresa en la base de datos de "Nombres a la Luna" los datos que ha puesto el usuario. No es ningún fallo de seguridad puesto que es una aplicación sencilla pero no deja de sorprender que queda un poco chapucero para ser la NASA quien ha realizado esta página.

Supongo que lo ha hecho algún programador en prácticas, porque es muy sencilla y no conlleva riesgo con ninguna otra base de datos de la NASA, pero bueno, lo dicho, que no veía yo este "fallo" de imagen desde hace muchos años.

Aun así, y volviendo al tema científico, os invito a poner vuestro nombre en la Luna. Yo ya he ingresado el mío y el de mi novia :)

abr 172008

Securitas Direct te da los datos del cliente que quieras

Con ánimo de buscar las grandísimas deficiencias de seguridad en cuanto a protección de datos que tienen muchas empresas en este país, he hecho una prueba esta mañana.

Tras lo que le pasó a un amigo, en donde vimos que Securitas Direct, daba los datos de nombre y apellidos, y dirección, con sólo llamar por teléfono para realizar alguna consulta o queja, he querido ir un poco más allá esta mañana.

Invito a hacer la prueba a cualquiera. Llamas por teléfono a Securitas Direct al 902 121 122. Dices que tienes todavía "un problema técnico que no te resuelven". Inmediatamente después te preguntan por tu "número de cliente".

Estos números suelen ser de 6 cifras, y para asegurar más "la tirada", mejor que empiecen por 58xxxx (que es una tanda que tiene seguro ocupada de clientes).

Tras decir CUALQUIER NUMERO de cliente te comunican el nombre y apellido a lo que tu dices "ajá" o "si", y luego te dicen "en la dirección xxxxx, ¿verdad?"… Y tu, "si, si, ahí".

Bueno, yo he probado 3 números distintos de clientes y he conseguido nombre, apellidos y dirección completa de esos clientes, incluso uno de ellos estaba a nombre de una mujer y se ha quedado la chica extrañada con mi voz, pero ¡ha colado!

Bochornoso, denigrante y por supuesto denunciable.

Nunca me haría cliente de una empresa que trata así a sus clientes, más aún cuando se dedican a la seguridad.

feb 282008

¿Cuánto cuesta una página Web?

Ayer me preguntaron eso… de nuevo, y yo siempre contesto con otra pregunta: ¿cuánto vale un coche?. Cuando me responden que "depende", digo que lo mismo para las páginas. Bueno, pero habrá una media de coste, ¿no?. En los coches podríamos decir que la media donde se engloban el 90% de los coches es entre 15.000 y 30.000 euros, pero con las páginas Web no se puede decir algo parecido.

Existe un grandísimo abanico de empresas y particulares que realizan páginas web por precios desorbitados, tanto por mucho como por poco. He visto proyectos que sinceramente no sobrepasarían los 5.000 euros, alcanzar cifras de hasta 30.000 euros, y (recientemente además) he visto un cartel en una farola de Madrid que nos invita a realizar una página por incluso 50 euros.

El mundo del desarrollo de páginas web se ha desmoronado. Muchísima gente tras un uso doméstico del (ya desaparecido afortunadamente) FrontPage, o del Dreamweaver, inundan de carteles las ciudades, las universidades y demás. Y por el otro lado, empresas que se lo tienen muy "creído" no te abren la puerta si no te gastas al menos 60.000 euros con ellos en una simple página con administración de contenidos.

Dejando a un lado estas empresas caras (que lo "caro" siempre tiene que estar en todos los productos), el problema reside en aquellas personas que por 50, 100, 300 euros te hacen una página, y que además contiene programación, bases de datos, etc. Hace poco un amigo me contó un ejemplo de una programación que vio realizada por "un equipo experto de programadores" que dejaban un agujero de seguridad tal que se podía coger la base de datos enterita por su página Web (SQL Injection).

El problema es que mucha gente que ha pasado por estas personas, cuando van a empresas normales, desarrolladores de precio medio y buenos, y comentas que una página cuesta (por ejemplo) 5.000 euros, se llevan las manos a la cabeza porque ellos han oído o visto sitios donde lo hacen por 400.

¿Todo el mundo sabe hacer una página web? Una web no es ordenar y maquetar contenidos como hacemos en un Microsoft Word o en un Frontpage, una página Web tiene un sinfín de características que hay que tener en cuenta, como la carga de los contenidos. ¿Quien no ha visto páginas en donde se meten fotografías de 1 mega ajustando su anchura a 100 pixeles como si fuera un icono? Se les ve cargar lentamente. También es importantísima la usabilidad, una página que no cumpla unos requisitos de usabilidad básicos, por más que tenga una programación impresionante por dentro, no servirá de nada. El usuario tiene que encontrarse cómodo. Recomiendo un libro impresionante del tema: "No me hagas pensar".

En fin, existen muchísimas cosas que se van aprendiendo con los años, que ahora no voy a listar aquí, pues se podría escribir varios libros sobre ello (y ya hay cientos en el mercado). El tema que me preocupaba era el del cartel que vi en Madrid y que, de alguna forma, degrada la profesión de desarrollador de páginas Web.

Supongo que se sentirán de la misma forma los profesionales de la cirugía estética, cuando se enteran de consultas "médicos" que ejercen ilegalmente y que hacen liposucciones por la cuarta parte del precio estandar.

Seguiremos intentando tener un hueco…

feb 202008 Tagged with , , ,

Securitas Direct y la protección de datos

La verdad es que me estoy sorprendiendo últimamente de los casos que yo mismo me voy encontrando y los que me voy enterando por ahí. Hace muy poco comenté un problema de protección de datos con Yoigo, y en los propios comentarios comenta otra persona que en Orange, con sólo dar un número de móvil, puedes saber el nombre y apellido de la persona que tiene ese móvil si es de contrato.

Hoy, en casa de un amigo, me he encontrado otro ejemplo que traslado aquí, a mi blog, para saber si algún abogado o alguien que conozca el tema de la protección de datos, puede revelarme (revelarnos) si es normal esta actuación.

Resulta que llamo al servicio de Securitas Direct y comento que existe una incidencia técnica, y de repente me dicen si soy "tal persona" y vivo en "calle bla bla bla número tal", sin yo decir nada de nada. Claro, ven el teléfono desde donde se llama, eso les aparecerá en los ordenadores y para verificar los datos de la persona en lugar de preguntarlos y verificarlos con los datos que tienen delante, te los dicen directamente y tu sólo tienes que decir "si, soy yo" y "si, es la dirección".

Estoy absolutamente asombrado con este hecho, porque la llamada se realizaba desde un móvil, ya que es el número de móvil el que está en la ficha de cliente de mi amigo en Securitas Direct. Ahora bien, pongamos el caso, que te roban el móvil en un bar, y llaman a Securitas y al ladrón le dicen donde vive y el nombre de la persona de este móvil (obviamente si está dado de alta como cliente). Todo esto antes de decir la palabra clave que existe entre Securitas y el cliente, que es la que ya confirma definitivamente la identidad y te permite realizar operaciones, con lo que simplemente llamando desde un número de teléfono dado de alta con Securitas, puedes saber el nombre, apellido y la dirección.

¿Es esto legal? ¿Alguien conoce algún caso similar y si se puede denunciar? Porque mi amigo está bastante decepcionado, y creo que yo también lo estaría. ¿Es serio esto?

, , ,
feb 142008 Tagged with , ,

Protección de datos en Yoigo NULA

Estoy cansado de explicar a la gente lo delicado de que te entren en un ordenador, por la cantidad de información que existe en él sin que nos demos cuenta, y sobre todo porque en este mundo en el que vivimos ahora, (y como demostraba muy bien la película "La Red" de Sandra Bullock) toda nuestra vida está metida en ordenadores.

Con un poco de ingeniería social, como hacía muy bien Eddie Murphy en las películas de Superdetective en Hollywood, y con lo pasotas que son los servicios de atención al cliente en cuanto a la seguridad y protección de datos de sus clientes, se pueden conseguir muchísimas cosas de alguien.

El último caso que me he encontrado es que en Yoigo, llamando al 622 de atención al cliente, con decir un número de teléfono de Yoigo te dicen el nombre y apellidos de esa persona. La primera llamada que hice, que era para solventar un problema que tengo con ellos, dije mi número de teléfono de Yoigo y luego mi nombre, a lo que me confirmaron mi apellido. No le dí mucha importancia hasta que colgué y me percaté de que mi apellido había sido facilitado con demasiada facilidad.

Pensando que podía haber sido un despiste (que aun así, vaya despiste), llamé de nuevo hasta 3 veces y en 2 de ellas, sin decir ni siquiera mi nombre, me dijeron mi "nombre y apellidos" con sólo decir mi móvil. Increible.

Para los que esteis pensando que no es una violación de la protección de datos porque al llamar desde tu propio móvil las operadores deducen que eres tú, deciros que la llamada la hacía desde otro móvil que no es de Yoigo, sino de Vodafone, con lo que no existía ninguna vinculación entre el número que llama y el número de Yoigo del que solicitas cualquier acción.

Con Yoigo saber el apellido, con Vodafone (hace tiempo) conocer el nombre de la entidad bancaria de un número de contrato, en Endesa (la semana pasada) ¡¡ el DNI !!… en fin… estoy por hacer un blog con lo que "se puede conseguir" de cada operadora con una buena conversación telefónica y sabiendo manejar a la operadora.

Tendrían que tener más cuidado las empresas que tienen nuestros datos, en facilitar datos así…

, ,
1 8 9 10 11 12 22