(In)Seguridad Insensatos

La seguridad de los que manejan nuestro dinero

¿Te gusta el artículo? ¡Valóralo!

4.9 media basada en 11184 votos

  • Excelente
    5325
  • Muy bueno
    3195
  • Normal
    1598
  • Regular
    799
  • Malete
    267
Yo es que no se para que, en mi trabajo, me pego horas y horas de asegurar los datos que tenemos, cumplir la Ley de protección de datos, los estándares PCI, pasar auditorias de seguridad … si luego, ves como los que tendrían que hacer esto con una pulcritud y severidad extremas, se pasan por las narices las normas básicas de seguridad.

En conocida empresa de esas que te dejan «dinero rápido» para gastarte en lo que quieras y luego te lo cobran al 22% de comisión, navegando por su web me encuentro con un pequeñito fallo de seguridad (por decirlo de forma cínica). Resulta que si visitas su página web pero te da por poner después del dominio, el propio nombre de la empresa .txt (cosa que me ha salido de puta chiripa porque intentaba ver el robots.txt y se me ha ido la cabeza), ves algo del estilo:

¡Ups, anda, que cosas! Si son los datos de acceso a su servidor y a su base de datos. Uy, que despiste de algún (que se hace llamar o pone en su contrato) «administrador de sistemas» que ha dejado un lindo fichero de texto con los datos por si acaso está en la playa y se le olvida como entrar a la máquina.

Ni me atrevo a entrar esos datos ni lo voy a hacer, porque no quiero ni pensar lo que me puedo encontrar con ellos en una empresa que maneja dinero de la gente, cuentas bancarias y datos muy personales de los que «confían» su dinero.

Otro ejemplo más a la saca de la mierda de seguridad que hay en nuestro país en páginas muy gordas.

Alex

Ciudadano del mundo. Me encanta llevarme mi cámara fotográfica para inmortalizar esencias y experiencias en lugares diferentes, donde la gente vive diferente, pero donde todos disfrutamos cada día de puestas de un mismo Sol.

Vistos recientemente...

Cómo hacer un concurso y no gastar en premios

No es de extrañar que cada vez haya menos negocios

Adios Telepizza

Las compañías de telecomunicaciones están degradando la reputación de los latinoamericanos

CUIDADO: todas las restauraciones de servidores en 1and1 hacen el servidor inoperativo

29 Comments

  1. HOSTIAS!

    HOSTIA! pero si es cof…….. dios,esta si que es buena

    11 de octubre de 2009
  2. Sergio

    Es muy fuerte !!!

    Por si no se habia hecho ya, he intentado avisarles desde su formulario de contacto, pero al pulsar en enviar no hace nada :-P

    Yo o algun conocido se he encontrado otras veces con problemas similares y muchas veces no te hacen caso. Alguna vez me da por probar algun SQL Injection (solo probar) y hay muchos sitios que aun son vulnerables …

    11 de octubre de 2009
  3. Majandi

    Pues parece que el admin se ha ido de puente porque sigue ahí xD

    A ver si podeis entrar a la DB y cancelarle a mi madrina el credito.. :D

    11 de octubre de 2009
  4. Manolo

    Dios, he adivinado de que web se trata… menudo despiste, sabiendo usar esos datos (yo no sé) se puede hacer un desastre, como se dice en mi tierra.

    11 de octubre de 2009
  5. BoW

    Joder yo también he accedido a esos datos…

    11 de octubre de 2009
  6. Azrael--

    No conecta por telnet (23) ni SSH (22), ni FTP.

    No conecta a la base de datos (probado con Heidi MySQL client. Acceso denegado para usuario, blablablabla.

    Esos datos a saber de cuando son.. y a saber desde donde se puede tener acceso (es muy posible que solo se pueda desde red local).

    Eso si, el articulo ‘hacker’ te ha quedado muy efectista.

    11 de octubre de 2009
  7. carlos

    Venía directo a comentar que me parece un poco irresponsable publicar aquí los datos si realmente son tan sensibles… hasta que he visto el comentario de Azrael.

    Espero que tenga razón Azrael y esos datos no sirvan para nada, porque si no me parece que tienes tu más «delito» publicandolos que el administrador que los dejó ahí por error.

    11 de octubre de 2009
  8. Kamugo

    Seguridad máxima, oye…

    11 de octubre de 2009
  9. RaveN

    Al segundo intento. Probé antes de leer los comentarios.

    Tela.

    11 de octubre de 2009
  10. Antonio

    Yo no pienso que sea irresponsable publicar aquí los datos. En realidad le haces un favor a la empresa, ya que puede tomar medidas (pidiendo responsabilidades, despidiendo al administrador).

    Por ejemplo cada vez que sale un parche de seguridad de cualquier programa, los hackers tienen carne de cañón. Es responsabilidad de los administradores percatarse primero y actualizar a la última versión.

    Es mejor avisar que callarse, ya que otra persona malintencionada podría beneficiarse. La solución de comunicarlo directamente a la empresa es éticamente más acertada, pero casi seguro que tu email no llegará al departamento técnico apropiado.

    12 de octubre de 2009
  11. Azrael--

    Pero a ver.. alguien es capaz de hacer algo con esos datos? Porque yo lo unico que veo es un archivo de texto que no tiene ninguna utilidad.. ni buena ni mala. A efectos practicos, es como si me invento yo los datos.

    12 de octubre de 2009
  12. desague

    Cuando estudié seguridad de redes, aprendí que una estrategia importante, consiste en provocar a posibles intrusos a intentar determinadas acciones, monitarizándolas y haciendo saltar alguna alarma. Con eso consigues ir por delante del atacante.

    Aunque en este caso tal vez tengas tu razón… o no…

    12 de octubre de 2009
  13. Yogee

    Oye!!! Y nadie puede entrar y cancelar todos los prestamos y que se vayan a la mierda….???? Tengo dos creditos con ellos y la verdad tuve verdaderos problemas con ellos al principio…

    12 de octubre de 2009
  14. Darkhogg

    La primera IP no conecta. La segunda sí. He probado todas las combinaciones (2*2 = 4, vaya…) user/pass del TXT y todas me dan acceso denegado.
    O son datos viejos, o están ahí para despistar (no creo, ya os digo que la segunda IP sí conecta)
    En cualquier caso me parece muy cutre por parte del que lo haya dejado ahí… siempre conviene tener este tipo de datos o fuera del document root o bajo un .htaccess con un deny from all…

    12 de octubre de 2009
  15. Yop

    En la primera IP, acceso cliente, ponéis el usr y pass y dice… el usuario está bloqueado xD

    12 de octubre de 2009
  16. Jinna

    Anda que menudo estás hecho Álex, esos datos son falsos, has caido como un auténtico lammer.

    12 de octubre de 2009
  17. MeriLET

    Menuda estás hecha Jinna, escribes «lammer» como una auténtica lamer

    12 de octubre de 2009
  18. NooBS

    MeriLET… has visto el enlace que has puesto? porque en la URL pone bien clarito laMMer…

    12 de octubre de 2009
  19. Igor

    Hace tiempo tenía suerte de ponerme con un proyecto viejo. Hace años en PHP los variables de la petición fueran globales. Es decir, $_POST[‘nombreVariable’] == $nombreVariable. Todo el código estaba hecho con los variables globales tipo $nombreVariable. Necesitaba o cambiar configuración del servidor para que funciona en modo compatible con variables globales (que es muy peligroso y el código se hace incontrolable), o tenía que revisar todo el código cambiando $nombreVariable por $_POST[‘nombreVariable’]. Uno, para ahorrar el tiempo, me dijo que haga lo siguiente:

    foreach ($_POST as $clave => $valor) {
    $$clave = $valor;
    }
    Lo mismo para $_GET.
    O sea, es lo mismo como cambiar configuración del servidor para que funciona en modo de variables globales. Le dije que esto no es seguro, pero me respondió «Es igual. Si no entran por un agujero, siempre pueden reventar el servidor entrando a través de otro fallo.»

    Curioso…

    13 de octubre de 2009
  20. Andres G. Mendoza

    Iba a poner que habia entrado en la web y cancelado mi deuda… pero creo que algunos no entenderían la broma.

    13 de octubre de 2009
  21. MeriLET

    Evidentemente NooBS o quien seas…
    El término «lammer» redirige a «lammer» puesto que la entrada con dos «m» no existe. Búscalo en la Wikipedia inglesa si no me crees.

    13 de octubre de 2009
  22. NooBS

    Cuanta incosistencia en una misma frase… El término “lammer” redirige a “lammer” puesto que la entrada con dos “m” no existe.

    13 de octubre de 2009
  23. David

    Una pista,para saber qué caja era,por favor, me muero de curiosidad

    14 de octubre de 2009
  24. garboy

    David, no sabes leer¿?¿? la pistaza la tienes en el primer comentario…

    14 de octubre de 2009
  25. ErDracu

    Ya han quitado el acceso. Y si, la primera pistaza tiene un comentario burrisimo, si sabes mirar la caché de google (la de texto)

    13 de febrero de 2010