Sobre todo me asusta la pasividad de La Caixa que no hace nada por remediarlo. La persona que ha logrado conocer el gravísimo agujero de seguridad que tiene el sistema de ServiTicket, que usan cientos de teatros y cines de toda España, está "acojonada" por tal pasividad.
Me envia estos pantallazos para demostrarme que es cierto:
ANTES
DESPUES
El ejemplo ha sido realizado con la película de Harry Potter el próximo martes a mi petición, es decir, que no se ha dedicado a retocar la foto y tal, aseguro y doy fé de que es cierto.
El agujero permitiría simular la adquisición de butacas PERMANENTEMENTE. Ahora, alguien que sepa de números, podría multiplicar los teatros, cines, museos, pabellones de toda España que usan ServiTicket y que de sólo un día mire la cantidad de butacas y sesiones que hay de todo ello.
¿Os imaginais la que se puede liar?
En fin… Asombrado de tal agujero estoy, joven padawan :)
Actualización 3 dic 01:00am
Dado que hay incrédulos. Ese video muestra de que forma TEMPORALMENTE se podría llenar a mitad una sala. Lógicamente, hacerlo con la sala entera, el cine entero y permanente es continuar con dicha programación, y esto no se va a hacer porque el objetivo de esto no es DAÑAR a ServiTicket y los cines/museos/teatros comprometidos sino mostrar que es posible realizarlo.
El video ha sido desactivado temporalmente ya que por fín, a las 3 semanas de avisar a La Caixa, un responsable del Dpto de Seguridad de la entidad, me ha llamado para comentarme que le había llegado dicha información. Me ha pedido, de buena fe, que quitara el video que muestra la forma de llenar las salas de cine, y he accedido, también de buena fe a quitarlo hasta que recibiera una explicación y tuviera una conversación con ellos, que espero sea muy pronto.
Seguiré informando aquí de lo acontecido con esta "historieta" :)
Actualización 15 dic 12:05am
Debido a que nadie me llama de La Caixa, considero que siguen pasando del tema. Aquí va el video de nuevo. Yo creo que no saben realmente lo importante del problema.
Actualización 19 dic 19:03am
He quitado el video porque he recibido un Burofax de La Caixa prácticamente de amenaza.
OS CONTARE LA HISTORIA ENTERA en próximos artículos. Voy a prepararla bien para que conozcais todo lo que ha pasado detalladamente. La historia, SIN DUDA, es mucho mejor que el video.
Pues me parece asombroso lo que dices…y no entiendo por qué la entidad no dice nada al respecto.
PD: Gran blog este…pasaré a menudo
2 de diciembre de 2005PD2: Genial lo de los segundos arriba.
debe ser muy grave el agujero, pero no entiendo nada de lo que pasa….cual es el problema? me lo podeis explicar mejor?
2 de diciembre de 2005hmmm…. ¿porque deberiamos creer tu palabra?
2 de diciembre de 2005Si quieres que la Caixa haga algo.. haz público el método.
Al dÃa siguiente ya verás como lo han arreglado.
Si se hace público serÃa ilegal, puesto que se ha publicado un fallo de seguridad que comprometerÃa bastante al sistema y sobre todo tendrÃa perdidas millonarias.
¿Algún consejo real y legal al respecto?
2 de diciembre de 2005Respondiendo a “… hmmm …” : ¿que gano yo mintiendo en mi propio blog?
Si no te lo crees añademe por messenger (o cualquier otro método) y te muestro que es cierto.
En serio, no se puede hacer público, al menos hasta que ellos digan algo y lo sepan… es simplemente ilegal.
Tener “acceso” a ese fallo y realizar un par de “llenos de sala” temporales no hace daño a nadie, si se libera el código, si, es cierto, al dÃa siguiente lo tienen arreglado, pero porque una panda de “lammers” lo han usado para realmente hacer daño.
(Lammer, hablando claro, para el que no lo sepa son los chiquillos que se leen 4 documentos por internet y se creen que son hackers capaces de llegar a la CIA)
3 de diciembre de 2005También se puede amenazar con hacerlo público. O mandarle la historia a algún periódico u otro medio de comunicación. Seguro que si es la portada de mañana de El Periódico de Catalunya (p.ej.) se acaba la cosa en una hora.
3 de diciembre de 2005Si no han dicho nada es porque en esta demostración se realizan claramente daños, y seguramente en breve pegaran una patada a la puerta del listo este.
4 de diciembre de 2005En esa demostración se ve claramente (al igual que en la explicación del video mas arriba) que es un ocupamiento totalmente TEMPORAL de la sala (dura 10 minutos me parece hasta que se elimina la sesión del navegador). Lo único que demuestra el video es que se podrÃa hacer permanente y en todas las salas. No hay daños.
4 de diciembre de 2005No es el primer fallo de seguridad o informático de La Caixa. Hace un par de meses, a una amiga le bloquearon la cuenta durante casi un mes por un “fallo informático” sin darle más explicaciones. Al parecer se habÃan borrado los datos de los movimientos de un montón de cuentas (no tienen copias de seguridad?). Se dió cuenta porque le habÃan rechazado el cobro de la mensualidad del piso. Obviamente no apareció ni una palabra en ningún periódico. El servicio informático de “La Caixa” es de lo más lamentable que conozco, pero lo compensan controlando a los medios de comunicación para que no nos enteremos.
Hace quizás unos 10 años, me robaron a mi de mi cuenta 100.000 pesetas con un sistema que consistÃa en colocar camaras de video en los cajeros para grabar el numero secreto de las tarjetas. Con eso y los datos de un resguardo (de los que seguramente tiré yo a la basura), pudieron hacer una copia perfecta de mi tarjeta de credito y sacar dinero de mi cuenta. Desde entonces, en los resguardos aparecen esas XXXX tapando los últimos números de la cuenta. Sólo vi una pequeña noticia sobre esto en “El Periódico de Catalunya”. Por supuesto ni en la tele, ni en ningún otro sitio…
6 de diciembre de 2005Ayer mismo descubrà algo parecido en ServiCaixa. Desde el propio “cajero” en el cine donde se recogen entradas, y donde también se pueden comprar.
6 de diciembre de 2005Fui a pillar 5 entradas, elegà el sitio y al pasar la tarjeta de crédito me dijo que no podÃa leerla. Tras 3 intentos aborto la compra. Lo volvà a intentar y los asientos que habÃa elegido antes estaban ocupados. Elegà otros y lo intente con otra tarjeta. Y tampoco.
Al ir a la taquilla, cual es mi sorpresa al descubrir que la chica de la taquila no me podÃa dar las entradas en los sitios que habÃa intentado coger antes. Me dijo que quedaban “reservados”. Apunto estuve de probar a “reservar” toda la sala para ver la peli más tranquilo.
Y en efecto, la sala casi llena, y los asientos mencionados, vacios.
Es curioso ver estos dos casos el mismo dÃa, por lo que puede que sea un “bug” (o feature ;P ) introducido recientemente.
No es una caracteristica nueva. Se puede hacer desde hace meses. Probablemente lo que te ocurrió es que la sesión del servidor que gestionaba esos asientos se quedó colgada (pasa muy muy pocas veces, pero pasa).
El fallo que se presenta aquà también “cuelga” esas sesiones pero masivamente de otra forma.
Se parecen los fallos ciertamente, pero este es un fallo genérico y reproducible, el tuyo fué puntual. Aun asÃ, muchas gracias por verificar y ratificarlo de alguna manera :)
6 de diciembre de 2005He visto el video del fallo.
Pero por lo que he visto, el problema afecta a la reserva temporal (mientras dure la sesion) de las butacas de la sala. Pero si quieres hacerlas permanentes, entonces necesitas una tarjeta de credito y pagar por lo que reservas.
Es decir, el perjuicio de reservar PERMANENTEMENTE las butacas tiene un precio. Salvo que tambien se haya conseguido burlar el sistema de pago, pero no creo que se haya llegado hasta ahÃ.
Cuidado. No digo que no sea un tema grave, puesto que en un par de horas, conociendo el fallo, haces un programa que se dedique a intentar reservar continuamente todas las butacas libres y dejarias el sistema completamente ‘out’ por un DoS de aplicacion. Tendrian que vender las butacas a mano.
Saludos.
7 de diciembre de 2005Efectivamente el video muestra, como dice el enunciado, una actuación temporal. Hacerlo permanente se puede, en serio, pero nunca he querido ni querré obrar para dañar el sistema.
Se puede hacer permanente, sin ataque DoS, y en todas las salas de España a la vez.
Muchos cines (por no decir todos) comparten esa base de datos centralizada. Si está ocupada en ServiTicket (aunque NO ESTE PAGADA), las chicas de las taquillas en el cine fÃsico, no pueden coger esa entrada.
Por tanto, dicho bestiamente, pero se podrÃa hacer que durante una tarde NADIE PUDIERA ir al cine en España.
No voy a obrar de mala fé. Pero es asÃ.
7 de diciembre de 2005Ok. Entonces entiendo que lo que has conseguido, es mucho más. Es decir, estas haciendo DML directamente contra la base de datos de esta gente.
Pufffff… y dices que han hecho caso omiso de tus avisos ? Vaya panda…
Mira, yo tenia a estos de la caixa en mas alta estima.
Saludos desde Zaragoza, Alex…
7 de diciembre de 2005como puedo aser para comprar ticket para fc barcelona – milan ac
19 de abril de 2006soy frances de perpignan mucha gracias
mira he leido todos los comentarios verdaderament eno se si esta pagina la seguiras revisando, pero bueno me quede cn ganas de ver el video, si lo llegas a tener o a poner en la pagina avisame por un email, gracias. mar.
28 de septiembre de 2006Pero yo no lo considero un fallo de seguridad, al contrario!
Se trata de un sistema moderno, en tiempo real, en el cual se reservan las localidades antes de realizar la compra. Es preferible esto a intentar comprar y que te diga que las localidades que has seleccionado ya han sido compradas.
Si 100 personas reservan a la vez, claro que se llena la sala.
Es como si cojo un walkie-talkie y no paro de hablar por un canal y lo dejo siempre ocupado. ¿es un bug?
No es ningún bug!
comentarios a: ronekenoby@hotmail.com
10 de diciembre de 2006pos yo e enviado 2 mensajes i no ma llegado la clave ayudarme o tomare otras medidas
8 de junio de 2007