(In)Seguridad

Serviticket: pasotismo, amenazas y descoordinación

¿Te gusta el artículo? ¡Valóralo!

4.9 media basada en 15609 votos

  • Excelente
    7432
  • Muy bueno
    4460
  • Normal
    2230
  • Regular
    1115
  • Malete
    372
En un lugar de Barcelona, de cuyo nombre no quiero acordarme, no ha mucho tiempo que operaba una empresa de las de portal de de , con HTML antiguo, fallos, y poco preocupada.

De esta forma creo que es la mejor forma de empezar a contar lo que ya prometía desde hace unos días como la historia con mas dejadez, desconocimiento, descoordinación y que he vivido en los últimos meses.

Contemos la historia de manera histórica, es decir, con fechas y hechos reales. El hidalgo, La Caixa, y los molinos de viento serán intepretados por ServiTicket.com

Era una mañana de 18 de Noviembre en la que me dispongo a usar el portal de adquisición de entradas para realizar la reserva de 2 butacas. Navegándolo me doy cuenta de un fallo. Perplejo de mí, investigo poco a poco el asunto, mirándo su código fuente en cada uno de los procesos de la entrada y termino con la conclusión de que, efectivamente, hay un fallo, por el cual, se podrían reservar absolutamente todas las butacas de una sala, de una sesión en un cine determinado, dejando por tanto la sala totalmente "ocupada" virtualmente.

Poco a poco me voy empapando de cómo ServiTicket está conectado a las taquillas de los cines y cómo se realizan las reservas. Al principio creía que era una cosa que veía yo localmente en mi ordenador, pero tras realizar otra prueba de "adquisición masiva" con un amigo "al otro lado del chat", me confirma que la sala está efectivamente llena y que no puede adquirir ninguna entrada.

Hasta este punto, la prueba la había realizado sólo en una sala, y además de manera temporal, es decir, dejando que la sesión de visitante en el servidor caducara, ya que ServiTicket dispone de un máximo de 15 minutos con esa entrada "al descubierto" para su adquisición final comprándola ya con la tarjeta de crédito (fín del proceso en la venta de entradas de su Web).

Un par de días más tarde, el 20 de Noviembre, veo, haciendo otras pruebas, que también se podía realizar dicha prueba en varias salas de cine a la vez, con varias sesiones distintas y en varias ciudades a la vez, y que para colmo, la prueba podía no ser temporal, es decir, que los 15 minutos de expiración de "reserva" podían también ser eliminados y tener las butacas permanentemente ocupadas, de forma que ni las propias taquilleras en los cines podían usarlas.

El 22 de Noviembre, dada la importancia del problema, decido llamar por teléfono a una sucursal de La , donde explico todo lo sucedido y me comunican que, inmediatamente, se ponen en contacto con superiores o responsables de este asunto. Doy fe, en este punto, de que es así. Con lo que a día 22/11 al menos me quedo "tranquilo" de que La conoce el problema y que un responsable de este asunto en particular va a conocer en las próximas horas el problema.

Mi asombro y preocupación crecen a lo largo de los días cuando ésos van pasando sin que yo reciba ninguna llamada (dejé mi nombre y teléfono móvil), sin que en la página Web de ServiTicket aparezca algún mensaje y sin que, más impresionante aún, el problema sea resuelto.

Llegados a este punto me dedico a modo personal a calcular los costes que supondrían de pérdidas el, por ejemplo, reservar de 20 ciudades españoles, 10 sesiones de las 22:00 de un sábado al completo… ¿os imaginais más grande el ejemplo?. Dejémoslo en pérdidas millonarias (de euros) y el consiguiente boom mediático que esto tendría, así como los posibles acuerdos que tengan ya los cines con el servicio de tickets de La Caixa.

Afortunadamente para La Caixa, (y digo afortundamente, porque es así), desde un principio (y hasta un final) mi objetivo ha sido pura y únicamente que La Caixa arreglara el problema y que pusiera en su página Web que ha sido solucionado, pues otros habrían liberado el código por Internet o usado desde algún cibercafe.

Después varios y varios días llamando a la sucursal de La Caixa donde dejé el primer mensaje y sorprendido de la pasividad me dispongo el 2 de Diciembre a publicarlo en este blog. Después de varios comentarios recibidos, uno de ellos me sugiere que lo que digo no es cierto, por lo que decido grabar un video en el que se muestra paso por paso que se puede realizar, pero no la forma de realizarlo (esto es muy importante para el final de esta historia).

Además, y tras una "recomendación" en un comentario, el 3 de Diciembre a escribir una nota a los medios de comunicación, que publicaron la mayoría. En concreto la captura de pantalla que ves a la derecha es del Heraldo de Aragón, del 5 de Diciembre.

Sigo llamando insistentemente y preocupándome por qué puede estar pasando y por fín recibo una llamada el 10 de Diciembre, de un responsable del servicio de ServiTicket.com, es decir, 18 días después del primer comunicado.

En ella explico todo lo ocurrido y les comento que mi deseo es poder quedar in situ, para explicarles cómo he averiguado el fallo e incluso decirles cómo podrían solucionarlo rápidamente, ya que me presento como administrador y analista de sistemas y programador. Me comentan entonces que van a hablar con superiores para poder realizar dicha reunión y les comento que la historia va a seguir publicada en Internet hasta que contacten conmigo pues esa llamada no me decía nada y no servía en absoluto, pues parecía una llamada del tipo "llama al chaval ese" en lugar de un interés real de alguien preocupado por un agujero en una programación con posibles pérdidas económicas, que es lo que realmente había.

Recibo otra llama el 12 de Diciembre, del Dpto. de de La Caixa (no pongo el nombre de la persona, aunque lo tengo). En esta llamada me piden desactivar el video, y les comunico que así será siempre y cuando reciba en las próximas 48 horas una llamada de alguien responsable con el que poder hablar y determinar una fecha para una reunión, pues la persona que me llamó no podía ofrecerme esto. De hecho, se ve en una actualización del artículo original, una nota que pone: El video ha sido desactivado temporalmente ya que por fín, a las 3 semanas de avisar a La Caixa, un responsable del Dpto de Seguridad de la entidad, me ha llamado para comentarme que le había llegado dicha información. Me ha pedido, de buena fe, que quitara el video que muestra la forma de llenar las salas de cine, y he accedido, también de buena fe a quitarlo hasta que recibiera una explicación y tuviera una conversación con ellos, que espero sea muy pronto..

Así pues, 3 días más tarde, informo en este mismo artículo, que, cito textualmente: "debido a que nadie me llama de La Caixa, considero que siguen pasando del tema. Aquí va el video de nuevo. Yo creo que no saben realmente lo importante del problema.". Por tanto pongo público el video de nuevo.

Mi sorpresa es cuando recibo el 19 de Diciembre (a las 13:52) un del Director Ejecutivo de la Asesoría Jurídica de La Caixa, en donde en apenas 4 parrafos expresan:

  • que conocen la existencia del video colocado en este blog
  • que no mantienen la impresión de la pasividad a la que yo abogo en la nota de prensa que envié a los medios (y que así se mostró)
  • su deseo requiriendome formalmente que dé de baja el video del blog, ya que no hace más que instigar o inducir a terceros
  • su advertencia de que cualquier ataque que pueda producirse en sus sistemas se seguridad con origen en las pautas del video, darán derecho a interponer las acciones legales, …

Explicaré por tanto el titular de este articulo:

Pasotismo: porque simplemente han tardado en primer lugar 18 días en contestarme a una sugerencia y advertencia de fallo en su sistema de venta de entradas, y después han pasado totalmente de realizar una reunión conmigo para explicarles y ayudarles en el problema
Amenazas: por el burofax enviado advirtiéndo de su derecho a poderme denunciar por, prácticamente, cualquier problema que tengan de ahora en adelante con su venta de entradas.
Descoordinación: porque todavía no me ha llamado nadie responsable con el que pudiera quedar y explicarle el problema, pues las dos llamadas no fueron en ningún caso de ServiTicket, sino de un (aparentemente) "mandao", y de un Dpto de Seguridad que simplemente tenía el claro objetivo de hacerme quitar el video, sin preocuparse del problema, ni de realizar la reunión conmigo.

El video fué quitado a las pocas horas de recibir dicho burofax, pero ahora yo mismo tengo algunos comentarios y preguntas que hacer a la comunidad y a quién quiera ayudarme.

En primer lugar, tal y como decía a mitad de artículo, el video no muestra la forma de duplicar el problema, sino que se puede realizar, con lo que no se de que manera podría instigar o inducir a nadie a realizarlo. Quizá haya algún programador superdotado que con sólamente ver el video, es capaz de ver toda la programación y formas de duplicar el problema. Es imposible. Me encanta poner ejemplos, así que pondré uno, un poco burro eso sí, pero a ver si sirve… Es como culpar a Bin Laden de cualquier ataque de avión contra un edificio porque el fué el primero que lo hizo y las imagenes en televisión pueden instigar o inducir a otro a hacerlo. Otra cosa es que Bin Laden (o alguien de su organización) publicara un video de cómo saltarse la seguridad, cómo pilotar un avión para estrellarlo contra edificios, cómo… ¿me explico?

En segundo lugar, parece que ahora voy a ser culpable de cualquier problema en los sistemas informáticos de La Caixa que puedan tener origen en las pautas del video. Viendo como se están comportando, parece que cualquier pauta podría ser sacada de dicho video y que voy a tener que pagar toda mi vida el titulo de "primer sospechoso" cuando ocurra algo en dicha entidad bancaria y más aún, en su sistema de venta de entradas ServiTicket.

Y ahora tengo unas preguntas, con las que me gustaría que me ayudarais…

1) ¿Tengo realmente la obligación de quitar ese video si no muestra en ningún caso la forma de hacerlo, sino simplemente la demostración de que se puede hacer? (El video muestra el proceso de compra en ServiTicket.com, y cuando se ve la sala vacía, se pulsa un botón en otra pantalla que pone "Ocupar sala" y entonces se recarga la página y se ve la sala llena, lógicamente no se ve la programación ni nada)

2) ¿No es una amenaza ese burofax?

3) ¿No han tardado bastante en ponerse "en contacto" conmigo? (y todavía no lo han hecho para reunirnos)

Amigos, esta es la historia. Así de simple. A ver cuántas actualizaciones tengo que poner… :)

Nota 1: Todas las pruebas que se han realizado han sido a través de la página Web sin usar ningún software específico de ataque y simulando siempre un navegador Web normal.

Nota 2: Nunca se ha intentado, ni por supuesto conseguido, entrar en los servidores de ServiTicket o derivados, ni de La Caixa, para la realización en parte o totalmente de lo contado en esta historia, de manera ilegal. Se reitera por tanto la nota 1.

, , , , , ,

Alex

Ciudadano del mundo. Me encanta llevarme mi cámara fotográfica para inmortalizar esencias y experiencias en lugares diferentes, donde la gente vive diferente, pero donde todos disfrutamos cada día de puestas de un mismo Sol.

Vistos recientemente...

Adios Telepizza

CUIDADO: todas las restauraciones de servidores en 1and1 hacen el servidor inoperativo

Certificado de seguridad de la Agencia Tributaria

Bibit caído por Navidad

Google controlandolo todo

43 Comments

  1. osiris

    Genial, vas con ánimo de ayudar y te responden así… ya sabes qué hacer la próxima vez?
    envíales el fallo a la COPE, seguro que tardan poco en tumbar a la Caixa :P

    saludos

    4 de enero de 2006
  2. Taikochu

    Mi consejo es que por precaucion deberias retirar el video del blog y consultar inmediatamente a un abogado como primera medida. Ya que lo unico que has echo es intentar ayudarles a resolver su problema y lo has ido contando desde este blog dudo mucho que puedan tomar alguna medida legal contra ti y mas cuando te han “amenazado” mediante burofax(cosa que esta poniendose muy de moda para acallar a los bloggers) ya que eso demuestra que lo unico que pueden hacer es amenazarte. Lo segundo que yo haria es ponerles una denuncia a ellos por amenazas. Y ya que me imagino como lo habras echo no debe ser muy dificil implementarlo con un script de greasemonkey me pondre a ello ahora mismo ya que lo que se merece esta gente es que le revienten el sistema por su cutresistema de venta de entradas, por no resolver el problema inmediatamente y por amenazar a una persona que simplemente intentaba ayudarles sin pedir nada a cambio. Por cierto si logro implementarlo ten por seguro que lo publicare en mi blog para que todo el mundo pueda hacerlo.Por cierto la noticia ha sido publicada en meneame asi que la noticia va a correr como la polvora en la blogosfera. Animo y no te achiques con esta gente byee!!!

    4 de enero de 2006
  3. Alex

    que es greasemonkey ?
    con esto uno (que lleva programando mas de 15 años) se dá cuenta de cuantos lenguajes y scripts que hay y que poco tiempo para poder saber incluso de su existencia :D

    4 de enero de 2006
  4. Taikochu

    Greasemonkey es un extension para firefox Alex

    4 de enero de 2006
  5. Juanjo

    Lo que tienes que hacer es exponer a los abogados de la Caixa tu postura *también por Burofax*, en lugar de hacerlo con llamadas telefónicas. Es un poco caro (25 euros, creo) y probablemente te convenga asesorarte un poco antes de enviarlo. Pero te aseguro que te tratarán de otra manera cuando tengan un burofax tuyo y corregirán el problema (que es lo importante).

    4 de enero de 2006
  6. Alex

    Como he buscado en google y me han salido hasta compiladores he preferido preguntar :D

    Ya vi que lo primero es la extension… voy a echarle un vistazo ;)

    4 de enero de 2006
  7. Juan

    Esto no es un agujero de seguridad, o por lo menos no le llega a la suela del zapato a los agujeros de los programas de Billy, por ejemplo.
    Pasa en todas las webs decentes de reserva de entradas. Las entradas se reservan unos minutos hasta que pagas, porque sino se daría el caso de que te las quitaran mientras sacas la tarjeta de crédito.
    La Caixa no ha utilizado el tono correcto contigo, obviamente. Tendría que haberte explicado el problema y lo habrías entendido, sin amenazarte. Entiéndelos, van de sobrados, como todos los putos bancos y megaempresas del mundo mundial. Yo, en su lugar, tomaría medidas contra aquellos que de forma fraudulenta intentaran bloquear asientos sin comprarlos, y ya está.

    4 de enero de 2006
  8. mou

    pues yo que tu iba a un abogado especializado, y si te dice que no hay nada ilegal en ello, filtraba la manera de hacerlo en la red. Que les revienten el sistema y que se jodan. ¿que te apuestas a que al segundo dia de perdidas ya lo tienen arregladito? A estas entidades solo les importa el dinero, pues a por ellos.

    salu2

    4 de enero de 2006
  9. Marcos

    No creo que se trate de amenazas. Creo que aunque la intención ha sido buena desde un principio, la forma de llebarla ha sido demasiado drastica.

    Si descubres un fallo de seguridad tan grave como el descubierto, lo mínimo es avisar, y en todo caso de forma privada enviar las pruebas a los encargados correspondientes de La Caixa, y no hacerlo público, porque primero, incitas, aunque no muestres “el como” pero como tu habrá mas espavilados.

    En cuanto a tomar medidas legales contra ti,. Es La Caixa, y cada abogado de la Caixa vale 100 de los que una persona normal y corriente puede permitirse.

    4 de enero de 2006
  10. villaykorte

    Cada vez entiendo menos a las grandes empresas, parece que hay que robar los números de tarjeta de miles de clientes para que te hagan caso. Espero que todo se pase y reconozcan que les has ahorrado un pastón, aunque sea anónimamente.

    4 de enero de 2006
  11. Uno

    jajaja. Lo de los abogados lo diras xq los conoces a todos ¿no? O es que por tener mas abagados y mas caros vas a ganar un juicio? Si no tienen razon, hasta el mas cutre abogado puede ganar el juicio. Es mas, hay abogados MUY buenos que a veces ayudan a gente sin muchos recursos para defenderles en cosas que consideran injustas.

    4 de enero de 2006
  12. JarFil

    La verdad, si vas con ánimo de ayudar de forma altruista vas a acabar quemado. La mayoría de las grandes empresas no se enteran ni de lo que hacen sus trabajadores, como para ser capaces de recibir ayuda gratis de alguien de fuera.

    Pero si lo que quieres es jugar un poco, como parece que estás haciendo con el vídeo, lo mejor sería plantarles una denuncia antes a ellos. Búscate un abogado que quiera arriesgarse a cambio de fama, fortuna, o lo que sea, y que les ponga una denuncia por… yo qué sé, “acoso moral”, “daños morales por no poder reservar una butaca”, algún “incumplimiento de contrato implícito de servicio” o cualquier otra chorrada. Saca otro comunicado de prensa que suene a pitorreo, algo como “joven informático zaragozano denuncia a gran empresa por el acoso moral sufrido tras intentar ayudarles gratis”, y mientras tanto pisa sobre seguro y retira el vídeo.

    De todas formas, viendo el vídeo te puedo decir que la “pre-reserva temporal” es una funcionalidad del sistema, no un fallo. El exploit que aparece en el vídeo es más digno de script kiddie que de otra cosa, así que a menos que hayas descubierto realmente un fallo en los tiempos de expiración de las reservas o en la cantidad de butacas reservables en cada pasada, el mantener todas las salas “ocupadas temporalmente” de esta forma se puede considerar un ataque en toda regla con todas sus consecuencias legales.

    4 de enero de 2006
  13. duff

    En principio estoy de acuerdo contigo en que te hayas puesto en contacto con dicha empresa para notificarles la vulnerabilidad detectada. Pero el problema que le veo es que para reportar dicha vulnerabilidad has hecho uso de ella y has llegado a interferir sus sistemas, por muy poco tiempo pero han sido interferidos.

    Legalmente creo te podrían pedir daños y perjuicios por esos minutos en los que su sistema estuvo interrumpido y se estaban realizando operaciones en ese momento. Además si quieren buscarte las cosquillas, no creo que les sea muy difícil de demostrar.

    Un saludo

    4 de enero de 2006
  14. Alex

    duff… el sistema nunca estuvo vulnerado, pues las veces que he probado el fallo que tienen, ha sido, por ejemplo, si hoy es 4 de enero, en una película para el 14 de enero a las 16:00 (la hora menos conflictiva de 10 días mas allá)… o sea, a sala vacia completamente.

    como he dicho, no voy de mala fe y no soy tonto, lo que pretendo no es ni fastidiarles, ni probando el fallo ni de ninguna forma.

    lo único que DENUNCIO con todo esto es la predisposición a ayudar que he tenido desde el principio y el pasotismo y luego amenaza que he sufrido. :P

    4 de enero de 2006
  15. Carter

    Asesórate con un abogado y no dejes que te acojonen con un put* burofax: Tú no has hecho nada ilegal y nadie puede acusarte de nada si les pasa algo.

    También puede suceder que quites el video y alguien ya lo esté compartiendo a través de P2P y tengan acceso a él unas cuantas decenas de miles de personas en vez de los “pocos” que leemos este blog.

    Haz todo el “ruido” que puedas (con o sin video), que corra la noticia y ya verás la buena publicidad que se hacen a sí mismos.

    Por cierto, supongo que sabrás que La Caixa tenía contratos para Irak y tuvo que echarse para atrás (al menos es lo que dijeron) ante las presiones de los clientes. Envía la noticia a radios (mejor independientes), periódicos y televisiones de Cataluña, verás que pronto se les quita la tontería.

    4 de enero de 2006
  16. joserramon

    No puedes obligar a nadie a recibir ayuda. Si has ofrecido tu ayuda, y por acción o por omisión no la han aceptado, pues ellos sabrán porque lo hacen. No obstante me parece que no fue correcta la decisión de comunicarselo al primer currito que te cogio el telefono en la oficina, creo que tendrías que haber dirigido al departamento de informatica de La Caixa en Barcelona en primera instancia telefonicamente y probablemente por carta después, y no darle más vueltas, porque ni creo que te esten amenazando (ya sabes que las amenazas es cuando existe un mal grave para ti o tu familia) simplemente te estan informando de que lo que estas haciendo no les gusta y por eso te mandan el burofax (yo te hubiera mandado un telegrama que acojona más) y por otro lado si quieren querellarse tendrán una dificil tarea para demostrar que tenías interés en perjudicarles. Te entiendo perfectamente como se te ha tenido que quedar el cuerpo cuando resulta que lo que quieres es ayudar y encima te quieren empurar. Por cierto no publiques nunca una foto de una navaja no vaya a ser que te culpen de inducir al asesinato. Saludos

    5 de enero de 2006
  17. El Teleoperador

    No has hecho nada ilegal. No has usado ningún programa dedicado a joder nada, sólo lo que ellos mismos han puesto en la Red. Y está claro que has hecho pruebas en días y horarios en los que aún no podías provocarles ninguna pérdida. Has ido de buen rollo y se han portado como gilipollas prepotentes. El burofax que se lo metan por los cojones. Lo que debías hacer ahora es redactar cómo lo has hecho y, de forma anónima, divulgarlo por foros y blogs.

    Y respecto a burofaxes, contradiciendo lo que alguien ha dicho antes, si bien son caros, no son tan caros. Un burofax se suele enviar junto con un acuse de recibo para el remitente y un certificado de contenido, es decir, una copia sellada por Correos que te quedas tú para demostrar qué ponía en el burofax. Pero resulta que puedes enviar el burofax sin acuse y sin certificado, que cuestan una pasta cada uno. Así, el burofax solo te sale (hablo de memoria) por unos seis o siete euros.

    Si más adelante tuvieses algún problema y necesitases ese certificado de contenido, tienes un plazo de tres meses desde que lo envías para pedirlo en Correos presentando el resguardo de pago del burofax… y pagando el certificado, claro.

    5 de enero de 2006
  18. Dors

    Estos son los mismos que cuando vas a recoger la entradas sale un pantallazo de MS-DOS con el comando PRINT para imprimirlas XDDDDDD

    5 de enero de 2006
  19. Dors

    Estos son los mismos que cuando vas a recoger la entradas a sus terminales te sale un pantallazo de MS-DOS con el comando PRINT para imprimirlas XDDDDDD

    5 de enero de 2006
  20. Cross

    Tu lo que eres es un creido de mierda y esperas que todos te hagan la ola. Anda, loser de mierda, buscate una vida.

    5 de enero de 2006
  21. Alex

    Cross, a quien va ese comentario?

    5 de enero de 2006
  22. Mola

    Bueno, aquí todos opinan de leyes sin tener ni p**a idea, lo de que sea lícito o ilícito lo tiene que decidir un juez, no los abogados de La Caixa ni ninguna persona de este foro. Está claro que no es un delito penal, esto hay que aclararlo porque aquí parece que todos los delitos tengan que ser penales y en este caso ni va a morir nadie ni nada por el estilo, pero sí puede ser un delito civil, por ejemplo:
    EL articulo 1902 del Codigo Civil dice: “El que por
    acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar
    el daño causado”.
    Si el juez estima que por tu culpa se ha producido un daño, se puede ser responsable civil. En el caso de que se produjera un ataque con daños, no tengo muy claro que no se pueda demostrar que no existe ninguna culpa por tu parte, por haber hecho este articulo + un video, es más, yo creo que muchos jueces pueden decantarse por estimar que si existe culpa. Reparar el daño es pagar los desperfectos….

    Por otro lado, no veo tan claro que todo esto que cuentas sea una amenaza de seguridad para la gente que usa serviticket o los cines. Estoy de acuerdo con el otro comentario que antes ha dicho que no puedes obligar a alguien a aceptar tu ayuda, tu no sabes si no tienen métodos para deshacer un ataque de estos, o simplemente asumen el riesgo que implica un ataque de este estilo y punto, la seguridad al 100% no existe, es como si tú les dices que consideras que tienen que poner 10 policías como mínimo en cada oficina, pasarán de tí. Claro que será más seguro, pero no es práctico, pues aquí igual, este agujero les afecta a ellos y a los cines, no a la gente, entonces, son libres de asumir el % de riesgo que quieran.

    5 de enero de 2006
  23. Seth

    A por ellos campeón :D

    6 de enero de 2006
  24. Taikochu

    Vaya el teleoperador en este blog este chico es omnipresente :)
    Cross=troll detestable
    Mola esto no es un foro, son los comentarios de un post(no confundas terminos) y creo que para eso estan ,para comentar y gracias por exponernos tu conocimiento de la ley seguramente Alex lo agradece aunque sono un poco como que lo iban a empapelar :)Yo estoy seguro que esto es un fallo y que deberian arreglarlo, ademas seguro que les sale mas barato subsanarlo que poner 10 seguratas en cada puerta.
    Alex estamos contigo y estoy de acuerdo con el operador en que deberias postear la forma en que lo has echo de forma anonima en la red asi por lo menos se gastaran la pasta mandando burofaxes por un tubo(LOL). Por cierto yo quiero un burofax de esos para colgarlo con un marco en mi habitacion. Mandadme uno por favor Serviticket…jijiji

    7 de enero de 2006
  25. koke

    Estooo, igual estoy leyendo el blog de quien no creo, pero no tenias a una abogada en la familia?? :D

    10 de enero de 2006
  26. nom'ntero

    bueno, yo no tengo ni idea de la mitad de las cosa que hablais, soy un internauta vulgar y corriente, sin conocimientos,que lo uso a diario para mi trabajo y las 4 cosas corrientes de cada dia
    hoy me conecté pq queria comprar un par de entradas para la pelicula de hoy, pero despues de lo leido…vamos que me voy a ir a hacer la cola de todos los domingos y lo compraré pagando en efectivo. tengo el miedo en el cuerpo.
    lo unico que quiero añadir es:
    felicitarte por tu accion y llamar a toda persona de conocimiento nulo o medio,como yo, a que utilice el metodo de siempre (cola, taquilla y pago en efectivo) y que se deje de historias modernas con reservas y pagos en la red que al final no es el metodo + seguro.

    22 de enero de 2006
  27. Pianista en un Burdel

    Luego se quejan de que haya ataques a las páginas de estos sitios.
    ¿Acaso hay otra manera de demostrar los fallos de seguridad?

    En cualquier caso, tú ya te has ganado tu lugar en el cielo.

    24 de enero de 2006
  28. solo otro comantario

    Me parece asombroso lo que leo, no me puedo creer que pasen de ti de esa manera, que pasen del problema si, veamos recuerdo que hay una pagina que se dedica a enumerar los bug, fallos o problemas de seguridad (llamadlo como querais) de los programas del amigo bill, bueno pues en esta web la gente que descubre cosas da los siguientes datos: tipo de error explicando a que parte afecta, peligrosidad baja-media-alta y su fecha de notificación a microsoft.
    No es la primera vez que una vulneravilidad de nivel alto ha estado largas temporadas sin solución, la mayoria de las veces los descubridores lo primero que hacen es notificar a la empresa y luego esperan, dada la pasividad de algunas empresas para corregir dichos errores han surgido iniciativas en forma de fechas limite con la que no se obliga a la empresa a subsanar el problema si no que se le comunica que en x tiempo sera publico y no me refiero solo a contar que existe si no a como usarlo.
    Luego estan estas otras iniciativas como la de esta web que comentaba que consiguen mediante informar al cliente del mal servicio que recive por parte de estas empresas.

    Todo esto viene a cuento de como bien dijo alguien en otro comentario, no puedes obligarles a que lo arreglen ellos no pueden evitar que tu lo hagas publico, entiendo que este servicio es como cualquier otro y yo cuando compro algo que esta defectuoso primero hablo con la compañia y si no me hacen caso voy a las oficinas del consumidor. Investiga si les puedes precentar una denuncia en protección al consumidor por prestar un servicio sin garantias de seguridad y que tiene problemas reconocidos.

    25 de enero de 2006
  29. currito

    Joder, después de leer esto sólo se me ocurre una necesidad de ego enorme para justificar tus acciones. Que obsesión con figurar en los creditos. ¿Acaso crees que La Caixa te va a dar las gracias por ésto? ¿Le debes la vida a alguien de Caixa para que te tomes tantas molestias? ¿Crees que después de esto ibas a trabajar en las torres de Caixa y te codearías con la Infanta? Es un puto banco, que ganas de ayudar a una organización que nos va a cobrar por todo y a sangrarnos una buena parte del sueldo en intereses. Cuando uno descubre una vulnerabilidad o la aprovecha para beneficio propio, o para putear, o para estimular su ego o la comenta en plan underground. ¿ Para que la sacas publicamente ? ¿ Es que después de esto pensaste en que ibas a entrar en Caixa como puto amo de seguridad al estilo HACKERS ? Despierta, y observa el mundo real. Si te interesa trabajar en Caixa (no discutiré tus razones) piensa en hacerlo como empleado de banca, no como informático: la informática está toda subcontratada. Empieza por mudarte a Barcelona, aprender catalán, y mandar el curriculum a las consultoras del sector: EDS, IBM, SDB, GETRONICS, DMR, etc …. y no esperes un gran futuro.

    25 de enero de 2006
  30. Alex

    Aunque me ofrecieran trabajar en la Caixa, diría que no, estoy mucho más contento con mi trabajo.

    El objetivo era demostrar: los agujeros que tiene una entidad bancaria del renombre de La Caixa y que se hiciera eco su pasotismo por arreglarlos (ya que se lo comuniqué por email hará 1 año y no me respondieron).

    En absoluto busco nada más… creeme, no soy de esos

    25 de enero de 2006
  31. Fernando

    Si yo descubriera un error de seguridad en una gran empresa lo último que haría es avisarles, y menos tratándose de un banco o caja.
    Creo que te las has querido dar de listo y te has ofendido cuando has visto que no te daban la importancia que buscabas.
    Que ganas ayudando de forma altruista a La Caixa?.
    Porque no vas al banco donde tienes tu hipoteca y les dices que quieres pagarles un poquito mas , para que no pasen apuros económicos?.

    26 de enero de 2006
  32. Alex

    Bueno, es otro punto de vista Fernando.
    Como he dicho en reiteradas ocasiones, simplemente quería mostrar la “inseguridad + pasotismo” (un pack) de La Caixa… y lo he conseguido ;)

    Lo de “que ganas ayudando de forma altruista” me hace pensar mucho de tí… Fernando, todavía quedan personas así en el mundo.

    No me considero uno, ojo! (lo digo antes de decirlo) pero precisamente los Hackers tienen la maldita fama que se les achaca porque todo el mundo creen que van a atacar al sistema, cuando ellos no destrozan nada, sólo MUESTRAN que hay agujeros. Son los crackers (palabra que casi no se usa) los que si que tienen la denominación de destrozar y hacer daño.

    26 de enero de 2006
  33. Fernando

    Bueno he sido un poco duro, lo siento si te he ofendido.

    Claro que existe el altruismo y dice mucho de una persona pero cuando va enfocado a personas o entidades que lo merecen.

    Creo que en general los crackers estan mejor vistos que los hackers cuando atacan a sistemas “potentes” no crees?.

    Un saludo y disculpa otra vez que me han pasado hoy el recibo de la hipoteca y andaba mosca ; ).

    26 de enero de 2006
  34. Helena Romão

    Olá!
    Não sei se já resolveste o teu problema mas gostava de dizer que um serviço de venda de bilhetes por internet que inclui na lista de PROVÍNCIAS espanholas PORTUGAL (LISBOA) é nitidamente um serviço prestado por ignorantes e é muito natural que tenha várias falhas.
    Há quase dois anos que lhes enviei um e-mail sobre este assunto e nunca foi solucionado.
    Boa sorte!

    30 de enero de 2006
  35. mou

    alguna novedad?

    14 de febrero de 2006
  36. Sagitario

    Hay que ver a qué chorradas se dedican los desocupaos…

    19 de mayo de 2006
  37. Anouk

    Bin Laden no fué el primero…
    Salud!!!

    13 de junio de 2006
  38. Pancho Mancho

    Hola Alex,

    Como abogado en ejercicio, sinceramente ¿porqué coño te has metido en este tinglado con una de las empresas más despreciables de este país?.

    He tratado un par de veces por temas laborales con una gestora de fondos de inversión propiedad de laCaixa y son lo peor que te puedes hechar a la cara, son estos catalanes chulos que se creen que tienen el mundo por montera, no por ser catalanes, ojo, que igual los hay que han nacido en Oviedo o Móstoles, pero para que te hagas una imagen de los tipos.

    Yo que tu, quitaba todo lo que pueda ser considerado tentativa o incitación, aunque a ti no te lo parezca.
    Has actuado bien, manda un correo a Antena3 o a Cuatro, que ellos le hagan un seguimiento o que lo pongan otra vez en las noticias, pero esta vez a lo gordo, no a los periodicos, que la opinión pública se entere del tema, y olvídate, y si pensabas que te iban a dar un puesto de informático (jeje) lo lamento, esto no es EEUU, que a los piratas les contrata la empresa pirateada…

    Un saludo, y seguir online…

    25 de julio de 2006
  39. Alberto

    Hombre,

    ¿Qué buscabas exactamente? Esa exigencia de “yo quito el vídeo si tengo una reunión con vosotros para ayudaros a resolver el problema”…Pero, y qué pasa si La Caixa no quiere que le ayudes? Tu avisas del problema, perfecto. A partir de ahí, es responsabilidad de la empresa subsanarlo, más tarde o más temprano; y que tarden en resolverlo no te da derecho a hostigar a la empresa.
    O acaso buscabas algo más?

    2 de diciembre de 2007
  40. daniel

    a ver, pancho, resulta que esta empresa, mal que te pese da trabajo a mucha gente… incluso hasta abogados. respecto a lo de los catalanes, dices que “no por ser catalanes”, pero vaya, se te nota el desprecio en las formas. gente como tú son los que hacen que gente como yo queramos ser otra nación.

    5 de febrero de 2008
  41. Ender Wiggins

    1) respecto al del ‘script kiddie’… macho, esto es un ataque de denegación de servicio. No es ninguna tontería. Y si sirve para reventar un sistema y que ese sistema deje de reportar dinero… es grave, por muy poco nivel que se necesite para ejecutarlo. Nadie ha dicho que sea una obra de ingeniería. Lo que Alex ha dicho es que es gordo, porque interfiere de manera GRAVE en el funcionamiento. Pregúntales a los de ‘La Caixa’ si es grave dejar de ganar dinero y me lo cuentas…

    2)¿ soluciones?. Hay algunas. Desde limitar la cantidade peticiones por IP,limitar por IP y por identificador de sesión de compra, … si los de la caixa no se mueven es, simplemente, proque alguien ha parado tu queja en un nivel en el que no se mueve ningún desarrollador. Probablemente, los que han parado tu queja solo tiene idea de relaciones públicas. Así que tranquilo…

    3 de mayo de 2008