Portada
mis comunidades
otras secciones
#15:
#14 Que una de las empresas mas importantes de España no de importancia a la seguridad de sus datos tiene valor en si mismo como toque de atención
Estos tipos han publicado los datos, pero ¿y si no lo hacen y se utiliza simplemente para tener una ventaja competitiva por parte de un rival?
En este país, muchas grandes empresas continúan gestionadas por dinosaurios que han visto un ordenador en las películas y que consideran que invertir en seguridad de sus redes es una chorrada
Estos tipos han publicado los datos, pero ¿y si no lo hacen y se utiliza simplemente para tener una ventaja competitiva por parte de un rival?
En este país, muchas grandes empresas continúan gestionadas por dinosaurios que han visto un ordenador en las películas y que consideran que invertir en seguridad de sus redes es una chorrada
#24:
Guardando en la BD usuario/contraseña... con las contraseñas en texto plano. Bien, bien.
Lo que han hecho estos será "de primero de hacking", pero lo que han hecho los desarrolladores de esas aplicaciones de ECI es de parvulitos de desarrollo web.
Lo que han hecho estos será "de primero de hacking", pero lo que han hecho los desarrolladores de esas aplicaciones de ECI es de parvulitos de desarrollo web.
#25:
Esto es lo más grave de todo:
"El dump de las tablas de usuarios nos proporciona otra sorpresa: los passwords no están hasheados, se visualizan en plano para mayor alegría y menos curro para descifrarlos."
Cualquier DB Admin o el proveedor si tiene acceso a la BBDD puede jugar con los datos, no hashear passwords es un fallo muy grande. Inexcusable
"El dump de las tablas de usuarios nos proporciona otra sorpresa: los passwords no están hasheados, se visualizan en plano para mayor alegría y menos curro para descifrarlos."
Cualquier DB Admin o el proveedor si tiene acceso a la BBDD puede jugar con los datos, no hashear passwords es un fallo muy grande. Inexcusable
#4:
¡Vale! Un server dedicado en la casa del amigo Chema Alonso
(...)
No tenemos ni la capacidad ni los medios (y mucho menos los pelos y el gorro de lana del Chema) pero nos esforzamos en hacer muchos cursos online de juakers y llenamos las paredes de certificaciones. No nos perdemos ni una CON y cantamos alabanzas a Nico y a Román pero ni a tiros nos invitan los tios a unas cañas.
(...)
No tenemos ni la capacidad ni los medios (y mucho menos los pelos y el gorro de lana del Chema) pero nos esforzamos en hacer muchos cursos online de juakers y llenamos las paredes de certificaciones. No nos perdemos ni una CON y cantamos alabanzas a Nico y a Román pero ni a tiros nos invitan los tios a unas cañas.
#44:
#19 #7
Yo le he oido soltar perlas que es para ajusticiarlo a garrote vil.
No dudo de su capacidad, te aseguro que me da mil vueltas, pero comunicando es un poco cafre.
Otra cosa es que con esa pinta lo vende "puta madre" y como muchas veces su discurso va dirigido a usuarios que saben poco o nada de seguridad y son usuarios normales de informática... pues dé el pego.
Yo le veo como el Enrique Dans de la seguridad informática patrociando por Movistar TM
Yo le he oido soltar perlas que es para ajusticiarlo a garrote vil.
No dudo de su capacidad, te aseguro que me da mil vueltas, pero comunicando es un poco cafre.
Otra cosa es que con esa pinta lo vende "puta madre" y como muchas veces su discurso va dirigido a usuarios que saben poco o nada de seguridad y son usuarios normales de informática... pues dé el pego.
Yo le veo como el Enrique Dans de la seguridad informática patrociando por Movistar TM
#1:
Muy bien, aprobados. Un diez a los de CEI por juntar al intranet y la clearnet todo en la misma red y con accesso, era necesario
#51:
Bueno, realmente no han hackeado a El Corte Inglés. Sino un software para un uso específico que es un servicio proporcionado por otra empresa. Software que parece también usan varias empresas importantes españolas. A los que han hackeado son a "acceso". El fallo de El Corte Inglés en este caso es fiarse de ellos como proveedores.
Pero vamos, que si mañana hackean, yo que se... Google for Work, no creo que digamos que hayan hackeado a todas las empresas que lo usan, si no a Google.
Pero vamos, que si mañana hackean, yo que se... Google for Work, no creo que digamos que hayan hackeado a todas las empresas que lo usan, si no a Google.
#9:
Basicamente han encontrado una manera tonta de inyectar condigo sql por url... algo que deberia significar el despido eterno de un programador... lo que costarán esos paneles de gestión y no tienen sanitizadores de url por ley, y cuando digo por ley me refiero a que tengas que pagar dinero y que te quiten el titulo de ingeniero si programas algo y dejas sin sanitizar las peticiones a bases de datos... y firmar algun tipo de acuerdo y que sea delito en la aepd
Comentarios
Guardando en la BD usuario/contraseña... con las contraseñas en texto plano. Bien, bien.
Lo que han hecho estos será "de primero de hacking", pero lo que han hecho los desarrolladores de esas aplicaciones de ECI es de parvulitos de desarrollo web.
#24, #25 Ja, ja, ja.. iba a escribir lo mismo. ¡Que grande! A partir de aquí, cualquier cosa es posible.
#42 Eso depende de que delito y que delito.
ECI se lo merecia, eso es todo. No permitir una inyección que también está mal. Si no guardar contraseñas en plano.
Como dice #24 , estos son párvulos, pero los de ECI... jujuju
¡Vale! Un server dedicado en la casa del amigo Chema Alonso
(...)
No tenemos ni la capacidad ni los medios (y mucho menos los pelos y el gorro de lana del Chema) pero nos esforzamos en hacer muchos cursos online de juakers y llenamos las paredes de certificaciones. No nos perdemos ni una CON y cantamos alabanzas a Nico y a Román pero ni a tiros nos invitan los tios a unas cañas.
#4 No tengo ni idea de todo esto, pero supongo que todo eso seran unas puyas tremendas al Chema Alonso ese,no?
.
Por otro lado,¿Tiene una empresa de hosting? No veas que publicidad
#7 se refiere a telefonica pienso...
#8 Ahh vale
#7 Aquí chema Alonso con su gorrito: https://www.google.com/search?site=&tbm=isch&source=hp&biw=1280&bih=899&q=chema+alonso+gorro&oq=chema+alon&gs_l=img.3.2.0l10.308.1793.0.3440.10.8.0.1.1.0.285.1134.0j1j4.5.0....0...1ac.1.64.img..4.6.1134.6Jr16jeywSI#imgrc=MrQyrAa4X9JYcM%3A
Es un experto en seguridad informática y que trabaja para Telefonica
#19 Siempre me he preguntado... Este hombre será bueno o simplemente se vende bien?
#20 Siempre me he preguntado... Este hombre será bueno o simplemente se vende bien?
Yo diría que ambas cosas.
#23 #20 http://www.elladodelmal.com/2012/07/los-hackers-son-malos-o-todo-lo.html
Los Hackers son malos... o todo lo contrario
Se ha instaurado una sensación de que un hacker es alguien malo de quién hay que protegerse en las empresas, cuando lo que tienes que hacer es tener hackers en tu empresa para ayudarte. Un hacker no tiene porque ser malo para tu compañía.
No es que quiera entrar en el eterno debate del término hacker, que ha llevado a acaloradas discusiones y diatribas en torno a las connotaciones positivas o negativas que se ha ido asociando a él. No voy a entrar en usar alguna de las míticas y coloridas definiciones del término, que cual pintura modernista admite todas las variaciones de la refracción de la luz, o de las definiciones anglosajonas usando crack, crash o hack como raíz de la palabra. En este entorno quiero utilizar el adjetivo calificativo como una categoría profesional. De profesión: Hacker.
#47 No me refiero al concenpto del bien o del mal, sino si tendra nivel o será un vendehumos .
#54 pienso igual que #23
#20 se vende bien, ese entra a redes mal configuradas como la del corte ingles, pero a una red bien montado no es capaz.
#58 Discrepo. Chema Alonso tiene nivel experto, muchos anyos antes de que saliera en los medios ya andaba en la escena, y el equipo que tiene en 11p tiene un buen nivel. Otra cosa son las envidias y tal. El campo de la seguridad informatica es enorme, y por la conferencia suya que vi en la pasada rooted ahora estan mas con temas de secint para moviles que de penetracion (muy logico por otra parte sabiendo quien le paga los garbanzos). A una red realmente bien securizada por un grupo de ingenieria de seguridad perimetral de los buenos no puede entrar ni el ni nadie en solitario, hacen falta gente, medios, tiempo y estrategia.
#19 EDIT0: No he dicho nada...
#19 #7
Yo le he oido soltar perlas que es para ajusticiarlo a garrote vil.
No dudo de su capacidad, te aseguro que me da mil vueltas, pero comunicando es un poco cafre.
Otra cosa es que con esa pinta lo vende "puta madre" y como muchas veces su discurso va dirigido a usuarios que saben poco o nada de seguridad y son usuarios normales de informática... pues dé el pego.
Yo le veo como el Enrique Dans de la seguridad informática patrociando por Movistar TM
#44 "el Enrique Dans de la seguridad informática patrociando por Movistar TM"
😂 😂
#7 Es uno de los comillas-gurús-comillas de la seguridad, patrocinado por Telefónica y es CEO de ElevenPaths, aparte de una figura mediatica. Lo que pasa que cuando le oyes decir algunas cosas y trabajas en seguridad informática, muchas veces dudas entre y :angry:
#39 ¿un ejemplo?
Esto es lo más grave de todo:
"El dump de las tablas de usuarios nos proporciona otra sorpresa: los passwords no están hasheados, se visualizan en plano para mayor alegría y menos curro para descifrarlos."
Cualquier DB Admin o el proveedor si tiene acceso a la BBDD puede jugar con los datos, no hashear passwords es un fallo muy grande. Inexcusable
#25 Sólo con ver lo que han extraído de la Postgres ya te das cuenta de que mucho interés, los programadores, no tenían.
Yo no soy ningún experto en BD, pero como mínimo sé utilizar un DBMS. Los que hicieron/mantenían esas aplicaciones, se ve que ni eso. O no les daba la gana hacerlo correctamente porque "se pierde mucho tiempo", que es algo que también pasa en empresuchas así.
#25 Bueno, que en 2016 una empresa como Acceso con los clientes que tiene tenga una SQL injection de manual es igual de grave, en mi opinión
#25 No solo eso. Si se trata de datos de caracter personal es una infracción de la LOPD. Hay un caso ya antiguo en el que un estafador de Interflora consiguó que emplumasen a Interflora porque en su juicio la empresa aportó el perfil del estafador en texto plano.
Les llevo ante la AEPD y esta no tuvo más remedio que empapelarlos con 600€ si no recuerdo mal.
Relacionada: Aportar contraseñas en un juicio es ilegal
Aportar contraseñas en un juicio es ilegal
samuelparra.com"La Ley obliga a almacenar las contraseñas de acceso de forma “ininteligible”, por lo que aportar en un proceso judicial la contraseña en claro de un usuario implicará necesariamente la vulneración de la Ley. Bien lo sabe Interflora España, que ha sido sancionada al aportar en una denuncia por estafa el nombre de usuario y la contraseña de acceso del presunto estafador que era también cliente."
https://www.samuelparra.com/2009/08/11/aportar-contrasenas-juicio-ilegal/
#62 hackear INTERFLORA...
esto confirma que hay mucho tiempo libre en este pais
#64: Esa empresa hace mucho daño a millones de alérgicos.
Muy bien, aprobados. Un diez a los de CEI por juntar al intranet y la clearnet todo en la misma red y con accesso, era necesario
#1 y las pass en abierto
#6 Denunciable por vulnerar la LOPD. Estos del Corte Inglés...
#6 Era de esperar, cuando trabajé en El Corte Inglés todos los jefecillos eran enchufados que bien sabían echar bronca y organizar su mierda pero a la hora de la verdad unos paletos con traje...
Basicamente han encontrado una manera tonta de inyectar condigo sql por url... algo que deberia significar el despido eterno de un programador... lo que costarán esos paneles de gestión y no tienen sanitizadores de url por ley, y cuando digo por ley me refiero a que tengas que pagar dinero y que te quiten el titulo de ingeniero si programas algo y dejas sin sanitizar las peticiones a bases de datos... y firmar algun tipo de acuerdo y que sea delito en la aepd
#9 Imagínate quien ha hecho ese desarrollo: una manada de becarios mal pagados y con formación de curso CCC
#11 O incluso ingenieros mal pagados y haciendo más horas que un reloj.
#27 IECISA. Fin de la cita.
#9 #11 #27 Cualquiera que se mueva en el mundillo de las Charcuteras(#41) debería saber cual es la que tiene la etiqueta verde
#11 Y no solo eso, hace como 10 años, los sistemas(intranet,pcs,hardware/software) del ECI son todos super antiguos, me daba hasta asco hacer ventas en los ordenadores ancestrales que tienen..
#9 Para eso se tendría que regular la profesión y dar atribuciones a los ingenieros informáticos.
#9 Hoy en dia cualquier sabe la básico de estas cosas, no hay que ser muy listo, y mucho menos tener una ingeniería que te puedan quitar.
Si no lo han hecho es por que como muchas empresas prefieren lo barato, feo, MAL hecho y para ya. No entienden que en informatica un buen trabajo lleva tiempo y dinero, y sobretodo no entienden que es necesario para evitar estas cosas hasta que pasa. Por lo supongo que tirarian para adelante y dejarian las comprobaciones de seguridad "si daba tiempo dentro del tiempo presupuestado".
#16 ¿como los arquitectos? ¿cuantos se han quedado sin titulo por hacer cafradas? ¿cuanto ha pagado calatrava? para eso estan los seguros. El y otros siguen ejerciendo apesar de las cagadas sin problema ninguno.
#17 Tengo visto cagadas en homologaciones tremendas, he visto proyectos c&p standard que nada tienen que ver con el proyecto, de hecho yo mismo pague por un proyecto de homologación en que entregue y me mate con los datos perfectamente detallados y me han devuelto un proyecto standard firmado con datos aleatorios firmado por un ingeniero . Ni se habían molestado a pasar mis datos.
No nos engañemos la idea puede ser buena pero la realidad es un chiste y todo es un sacacuartos. Y no hay responsabilidad civil ninguna si no que hay un seguro detras que paga los daños.
#37 desconozco si hablas de un proyecto en el extranjero o en España. En España no hay regulación ninguna con las responsabilidades limitadas. Todo se acuerda por contrato. Pero hablo de atribuciones profesionales.
#63 Hablo de España evidentemente. Y a lo que me refiero es que por propia experiencia con homologaciones y proyectos lo de colegiado no vale de garantía de una mierda por que firman cualquier mierda que le manden y cualquier c&p y si te niegas ya habra otro arquitecto o ingeniero que lo firme y tu a casa. Ya me gustaría ver a los ingenieros "padefos" informáticos firmando cosas
. Y la responsabilidad civil se basa en hacer y pagar un seguro. Cosa que cualquier empresa ya esta obligada a hacer tenga ingenieros o no.
Y es gracioso que hable de intrusismo laboral y atribuciones cuando los ingenieros informáticos son los mayores, que se ofrecen a trabajos que piden ingenieros para realizar trabajos de técnico con sueldo de técnico. Anda, por favor lo que hay que leer
Si crees que los problemas de tu carrera es que "no hay que estar colegiado" es que no sabes nada de tu carrera en el plano laboral ni lo poco que sirve como garantia "estar colegiado" en otras profesiones que si es necesario hoy en dia.
#37 Hasta donde sé calatrava hace los diseños y luego dirige la obra, sin embargo, son otros ingenieros los que se encargan de llevarla a cabo. Esto también lo digo un poco sin saber, solo en base a algunas discusiones que ya se han montado respecto a ese tema. Otra cosa es que piense que si firmas una obra eres responsable por ello, pero ojo, me parece que tu argumento es muy pasivo y si fuera por eso, ni los médicos requerirían un título para ejercer su profesión.
A mi me parecería que por lo menos proyectos de cierta envergadura requieran a alguien que de la cara por ellos y no quede todo en que fue un becario o un error informático, a partir de ahí, tienes razón ¿quién coño cumple la ley en este país?
Pero ya es otro problema y mucho más genérico, al menos una vez hayan leyes ya nos podemos preocupar de si se cumplen o de hacerlas cumplir, pero si no tenemos eso, entonces no tenemos nada.
#76 Los médicos es de las pocas profesiones serias, pero también tienen peros sobretodo en la privada, estéticas y demás responsabilidad nula y pueden ejercer cualquier mindundi de otro pais que le regalaron el titulo. No hablemos ya de otras carreras menores como odontología y similares que hay cafradas por todos lados.
De todas formas yo no hablo de no tener titulo para ejercer, aunque ciertamente pienso que el titulo no es todo, y no siempre el que tiene el titulo tiene los conocimientos que se le supone por tener ese titulo, yo hablo de la responsabilidad y del que cree que tener un titulo es responsable o que si estas colegiado cambia algo en la profesión en cuanto a responsabilidad. No que un proyecto tenga que ir firmado por un ingeniero no es garantía de nada. REPITO. Quizás la idea seria buena ciertamente si se cumpliera. ¿pero si no se cumplen con arquitectos de siempre por que se va a cumplir con un ingeniero informático? ¿cambiara algo? no, tu u otro vas a firmar lo que te pongan en la mesa, y la aplicación como si la hace un becario que no tiene ni puta idea de nada.
Tengo un colega que trabajo en un a empresa de arquitectos, solo había un arquitecto colegiado, el jefe, y los proyectos los hacina cualquier pringao con media carrera o que sabía dibujar un plano, seguían ciertas plantillas, mucho c&p y luego el firmaba todo el jefe. ¿te crees que revisaba el trabajo?
La regulación, los colegios son una mafia, que poco más provocaría que aparte de autónomos el ingeniero informático tenga que pagar 300 pavos más al mes (ni idea cuanto se paga) para poder firmar.
Aun así algunos ingenieros informáticos quiere que se regule por que creen que así van a mejorar sus condiciones, que les da cierta autoridad, pobres PALETOS, seguirán siendo la misma mierda para el empresario, y les cortarían la posibilidad de hacer trabajos por cuenta propia por que tendría que pagar 350 de autónomos y 300 para estar colegiado cosa que ahora NO necesitan, la raíz del problema esta en el exceso de ingenieros y que el empresario siempre encontrara alguno que firmara y que aceptara las condiciones, y el sueldo de mierda.
En otros tiempos cuando los ingenieros eran contados pues podían poner sus condiciones, y si no querías firmar la empresa cedería a tus pretensiones/exigencias en el proyecto por que no le quedaban más huevos por que otro también le haría lo mismo, por que no les faltaba trabajo. ¿ahora? es todo un chiste.
#9 En otras profesiones para firmar proyectos tienes que estar titulado y colegiado, lo que evita intrusismo laboral y aporta responsabilidad civil por parte del responsable del proyecto. En otros países también ocurre con el desarrollo de software. El título no se le puede quitar a nadie pero en otras circunstancias podría suspenderse del colegio inahbilitando para ejercer. Pero como no ha interesado regular la materia para que cualquier biólogo o teleco pueda dirigir proyectos de software y poder devaluar así el mercado laboral, pasa lo que pasa: un error informático es responsabilidad de un ente abstracto jurídicamente inviolable, el software.
#9 sí y no, y formo parte del gremio 'oficial', es un tema con muchos grises.
Pero si estoy de acuerdo en que en proyectos informáticos que afecten directa o indirectamente a vidas humanas, si habrá que legislar tarde o temprano asuntos de responsabilidad.
#9 si no me equivoco, esto se hace utilizando el método POST en lugar del GET, ¿no? Bueno, en mis tiempos cuando chacharreaba con estas cosas era así, por eso pregunto. Estoy algo desfasado en ese tema.
#9 ¿Despedir al currito pringao al que pagan cuatro duros y no al responsable directo? Pues no, mira. Cada cual que aguante su responsabilidad. Y el becario que hizo eso seguro que no la tiene.
#9: Es que si hubieran querido podrían haberles pwneado con un DELETE FROM sin WHERE o peor aún (ima chargin mah lazer): DROP DATABASE.
#9 Yo le quitaría el título de EGB / ESO a todos los que veo escribiendo cosas como 'sanitizar', supongo que heredero del sanitize inglés, que viene a ser el 'sanear' español. Antes de mandar a la gente a la hoguera, hay que mirar la viga en el ojo propio. Coincido en que hay bastante dejadez en el sistema que han utilizado, y también hay mucha dejadez en subcontratar servicios tan importantes. Pero nadie debería perder su 'licencia' por tener alguna vulnerabilidad, ya que los tiempos y presupuestos que existen en este país no dan para tener un sistema seguro para anteayer ( lo que no quita que en este caso haya muchas cosas flagrantes, como las contraseñas sin cifrar, que no son una cuestión de presupuesto... )
Mayormente estoy de acuerdo, en este caso los juankers no se han tenido que esforzar mucho, o casi nada, y hay cosas muy burdas en todo, pero me jode que acabará comiéndose el marrón el programador, en lugar del responsable, y en lugar del responsable de ese responsable, y también me jode el cainismo que hay en esta profesión, que nos encanta dejar al otro como un principiante.
#80 No es RAE, pero te explico, sanitize es "desinfectar" en ingles tecnico, y es una tecnica que se usa para evitar que te cuelen codigo no deseado en los encabezados de HTML, en la jerga del mundillo se dice "sanitizar" que es un palabro, pero explica mucho mejor lo que es y lo diferencia de "desinfectar" que es lo que hacen los antivirus.
La sanitizacion es algo tan sencillo como borrar a la entrada todos los campos del encabezado HTTP que no te interesan y que podrian usarse para inyectar codigo chungo y poner limitacion de longitud a la cadena de caracteres. Se hace en cinco minutos y me sobran cuatro. Cualquier servidor web moderno lo puede hacer y es basicamente poner uan docena de lineas ( o copypaste si ya tienes un template), no hay que plantar un PaloAlto o un Imperva delante del servidor.
Lo que si esta claro es que la culpa no es del programador, supongo que completamente overworked y retribuido con una miseria al final de una cadena de contratas que se llevan el 70% del sueldo que deberia recibir.
#81, Está bien que lo expliques para el gran público, pero trabajo en el gremio, y estoy bastante familiarizado con el concepto. Tampoco quería ofender a #86, ni ser la RAE a la que tan poco respeto. Pero me duele el uso indiscriminado e innecesario de anglicismos que enturbian el discurso en lugar de aclararlo. Yo entiendo - y de hecho, utilizo - que se usen palabras que no tienen equivalente, o que de tenerlo, nadie usa en ese contexto, léase router, commit, etc. Son palabras muy concretas cuyo equivalente puede llevar a equívoco, o que están completamente extendidas. No así palabros como 'mergear', 'deployar', sanitizar', cuyos equivalentes castellanos se entienden perfectamente y no tiene sentido el uso inglés. Es como si yo digo 'voy a sendear un email', suena fatal, y es completamente innecesario, incluso en un ambiente técnico como en el que yo también me muevo. También te entiendo si dices 'sanitizar', porque es argot técnico que manejo, pero cualquier otra persona no. Y aparte, considero que es confundir la evolución necesaria que ocurre siempre con los avances técnicos, con la extensión de la incultura, como la que se da por ejemplo en algunos países del otro lado del Atlántico cuando hablan spanglish, algo que aquí nos parece horrendo, porque está más extendido que aquí, pero que viene a ser lo mismo, como 'voy a clinear la carpeta' : voy a limpiar la alfombra ( clean, carpet ).
Yo digo todos los días 'sanear la entrada de datos', 'mezclar las ramas', 'desplegar el código', y todo el mundo me entiende. De cachondeo también juego con la españolización del inglés, para hacer la gracia, pero es con un motivo jocoso, no como algo que considere normal.
Esto no es un intento de ser como la RAE, repito, sino de evitar que acabemos diciendo cosas como clinear la carpeta. También se me escapan cosas, es normal, y el ambiente es proclive a ello, pero trato de no dejarme llevar demasiado, porque a veces acaba siendo hasta ridículo.
Os dejo un anuncio muy bueno, que espero que os haga reflexionar un poco:
#87 From lost to the river
#88 Talmente, brother jeje
#80 con la rae hemos topado... me da igual escribir palabras que no existen en la rae... de hecho las palabras que suelen añadir todos los años a la rae son en 90% vergonzosas.... yo no saneo alcantarillas sanitizo urls... sanitizar urls es una cosa sanear es cosa de fontaneros...
No entiendo de que se les da tanta caña por no cifrar los passwords.
gallir !
Seguro que fueron alumnos de
http://blog.spacebom.com/03/del/03/del/2006-hackealo-crackealo-o-la-seguridad-de-meneame/
Bueno, realmente no han hackeado a El Corte Inglés. Sino un software para un uso específico que es un servicio proporcionado por otra empresa. Software que parece también usan varias empresas importantes españolas. A los que han hackeado son a "acceso". El fallo de El Corte Inglés en este caso es fiarse de ellos como proveedores.
Pero vamos, que si mañana hackean, yo que se... Google for Work, no creo que digamos que hayan hackeado a todas las empresas que lo usan, si no a Google.
#51: Si, y la "Universidad de Comillas", que mucho "prestigio", mucho "tronío", pero... su "seguridad" también podría ir entre "comillas".
#51 las bases de datos son de el corte inglés.
#73 Los datos son de El Corte Inglés. La BD (y los despropósitos) entiendo que es de los mismos que hicieron el software.
Realmente el hacking en sí ha sido muy fácil, está claro que - tal y como dicen - hay un curro de recopilación de datos previos igualmente importante (pero no es estrictamente técnico). Lo que me pregunto es si se han cubierto la espalda bien, al entrar así y sobretodo al hacerlo público luego, tienes que poner muchísima atención en los detalles.
Es que una vez leido parece mentira que no se lo hubiese hecho antes otra gente.
#2 Y la lista de las que podían caer...
#2 muy probablemente alguien haya estado aprovechando esa vulnerabilidad y vendiendo en el mercado negro esa jugosa información por mucho tiempo.
Lo que han hecho es un delito, sin ningún mérito técnico (ellos mismos reconocen que es de primero de hacking), y con un dudoso valor social.
#14 Que una de las empresas mas importantes de España no de importancia a la seguridad de sus datos tiene valor en si mismo como toque de atención
Estos tipos han publicado los datos, pero ¿y si no lo hacen y se utiliza simplemente para tener una ventaja competitiva por parte de un rival?
En este país, muchas grandes empresas continúan gestionadas por dinosaurios que han visto un ordenador en las películas y que consideran que invertir en seguridad de sus redes es una chorrada
#15 entonces según tu criterio, a los que no tienen una seguridad informatica a toda prueba hay que publicarles la contabilidad en Internet para que escarmienten. Si de verdad quisieran ayudar habrían comunicado las deficiencias a la empresa para que las arreglaran. Yo creo que son unos lamers que sólo buscan una inmerecida notoriedad. Espero que les caiga todo el peso de la ley.
#29 No has entendido mi criterio
#31 Yo si lo he entendido, y lo comparto en buena parte. Publicarlo en internet, pues yo que soy azul diria que no, que como dice #29 lo suyo habria sido un tormail o dejarles una nota en el motd del servidor... pero con las cosas que estan pasando en espanya no esta mal que se vean los frutos de la subcontratacion y precarizacion salvaje de los puestos tecnicos y la completa falta de conocimientos que tienen los "responsables" enchufados para supervisar el trabajo tecnico, pues oye, me entran las dudas.
#14 Como los delitos que hace el corte inglés con sus mamandurrias.
#18 un delito no justifica otro delito.
#14 No estoy de acuerdo con tu comentario por una razón muy básica, es que esto no nada del otro mundo, tenían que haber guardado unas nociones de seguridad muy básicas, no se trata de que les podrían haber avisado para que lo solucionanran, es que de partida tienen una mierda y seguro que son conscientes de que la tienen porque lo han pagado a precio de mierda.
No es la empresa de tu tio que monto un ordenador en su casa para hacer una página web de autopromoción, como bien te dice otro comentario es una de las empresas más importantes de españa, y su seguridad es una puerta hecha con ramas y pegadas con celofán...
#43 La Agencia de protección de datos también debería actuar contra la empresa gestora de la información por esa manera tan deficiente de tratar la información de sus usuarios. Passwords en texto plano.....
#50 totalmente de acuerdo
Lo único que he entendido del artículo es que El Corte Inglés, que factura miles de millones al año, tiene fallos garrafales de seguridad informática que han permitido a ese grupo de expertos sacar toda la información sensible que han querido tan solo usando técnicas de principiante. Lo demás es muy técnico para mi escaso nivel.
La impresión que me llevó es que El Corte Inglés la ha cagado. Y si ellos la cagan, imagínate la PYME. No hay nada cien por ciento seguro.
Enhorabuena a esos háckers y gracias por difundir la información. No tenía ni idea de que habían hecho ya lo mismo con Zara y otras empresas grandes. Son lo más.
#21 Y si ellos la cagan, imagínate la PYME.
Conozco PyMEs con mayor seguridad que lo que refleja el artículo. Todo depende de a quién encargues el desarrollo/mantenimiento de los sistemas.
Pues El Corte Inglés que yo sepa tiene su propia cárnica informática IECISA.
Si esto es un ejemplo de cómo trabajan cuando hacen cosas para ellos mismos, podéis ir a sus clientes y estarán igual o peor.
Seguimos considerando como objetivos válidos de nuestras acciones cualquier desarrollo, aplicación, o servicios online de ECI o cualquier otro entramado empresarial que se distinga por el maltrato y/o abuso de sus trabajadores, la ocultación, corruptelas, nazi-fachas y/o asociaciones o medios de comunicación vendidos a un sistema donde sólo el poder y la economía priman sobre otros valores. El conocimiento debe ser libre y la información liberada. ¡Esperadnos! Me da mucho miedo y risa estos justicieros de pacotilla.
#40 cuando les caigan dos buenas condenas por revelación de secretos e intromisión informática se les terminarán las tonterías a estos putos lamers.
Impresionante currelazo.
Kids.
Me pregunto si han accedido a las notas de las universidades que tenían acceso.
unos grandes
#84 A mi moralmente no me gusta, en el sentido de que yo no lo haría y si les cae alguna condena por ella tampoco me voy a rasgar las vestiduras o a defenderlo como si fuera justo, pero sí digo que al menos me parece comprensible esa postura. Al margen de que yo no comparta esa posición moral, sí pienso que en sí misma es una postura moral, y a eso me refiero con que me parece una postura comprensible.
Eso sí, no se trata de que alguien se ha dejado las llaves de su puerta puestas, porque eso es más bien algo "accidental". Sería más bien como que en una comunidad de vecinos hubiera una puerta "peligrosa" y faltarán todas las medidas de seguridad necesarias por ley para que no haya ningún accidente medidas que podrían evitar que por dejar esa puerta abierta o por dejarse las llaves haya un accidente. Ya sea una puerta de una ascensor, que de a un precipicio, o que contenga productos químicos peligrosos, cables de altovoltaje, etc, etc.
Sinceramente en ese aspecto nos hace falta mucha cultura en cuanto a informática (en su significado literal de manejo automático de la información).
Razón no le falta. De sombras 0. Todo es corrupción a plena luz del día. Sin complejos. Viva Essssp...!!!
¿Para cuándo un Hackéame con un cómo se hizo?
Lo que yo me pregunto es si yo yo antes de publicar los datos, no me pondría en contacto con el corte ingles, les hablaría de sus vulnerabilidades y les ofrecería mis servicios (muy bien pagados)..
#13 iecisa paga kk. Da igual que lo que hagas sea caro en otros lugares, ahí cobras poco y estás rodeado de packages cuyo trabajo o bien tienes que hacer o bien tienes que sufrir.
Leyendo este artículo, dan una impresión bastante mala como grupo supuestamente hacktivista. Jo, es que nos llaman amiguitos. Y para irse de graciosetes, o de soberbios, no puede faltar el lol, el lulz, el gorro y los pelos de Chema y su relación con Telefónica, sueltan nombres del mundillo y hablan de que no les invitan a birras. Es que son unos juankers y se codean con los mejores. Venga, compro. ¡Cállese y coja mi dinero!
Además, que todos sabemos de varias empresas que no tienen suficiente seguridad. Historias de terror de contraseñas y números de tarjeta en claro (mientras sueltan a la cara que la información se trata de forma segura), de no usar sanitizadores, usuarios de administración con contraseñas terriblemente fáciles, frameworks y sistemas antiguos.. Por supuesto. A ver quién se cree que todo departamento de informática cuenta con expertos en seguridad, o incluso gente que le interese el tema y tenga suficiente tiempo como para estar al día de las última vulnerabilidades y best coding practices. El Corte Inglés parece una de ellas; sólo hace falta ver que en sus días de promociones sacaba mensajes de debug por la consola de javascript.
En fin, dejando el tono soberbio de buena parte del artículo, llego a esto:
>> Pero la gracia no está en que exista, amiguitos, sino en encontrarla y explotarla sin hacer de pentester legal que avisa de ella a la empresa a cambio de fama o algún tipo de reconocimiento. Eso, es tan ilegal como lo que hacemos nosotros, así que optamos por darle otro aspecto más social como es el de liberar la información y que cada cual saque las conclusiones que prefiera. Eso ya nos da igual.
A nivel legal no lo tengo seguro, pero ni de lejos es lo mismo avisar internamente que sacar todos los trapos sucios. Eso parece una base errónea, al menos por dos motivos: 1) El tipo de reconocimiento social es una base común, al menos en mi opinión, de muchas acciones. Igual que ésta. 2) Liberar información como contraseñas no es lo mismo que avisar a la compañía y que se arregle internamente. Por muy mal protegidas que estén, no es excusa para mostrarlas al público. Siguiendo lo de que toda información es libre, podrían averiguar la información privada de cualquier persona, tenga ésta o no culpa de lo mal que estén asegurados sus datos; y terminar como Rachel Wissner en 4chan. Total, por qué no.
Si realmente están en contra del trato abusivo en el sector, que en vez de poner tanto lolz y tanto lulz abran un buzón de denuncias sobre condiciones laborales (con fundamento) para que se denuncie públicamente el trato en cárnicas (y no tan cárnicas...); que le hagan saber a la empresa y al público el motivo del ataque, y que no saquen ni una captura con cuentas o passwords por mucho "que ya no existan". Si no veo una queja seria y un movimiento de verdad, lo del enfoque social me suena a cuento.
Y nada más, siento el tocho para quien se lo haya leído.
#74 Quería comentar unas cosas, me parece que dan esa imagen precisamente porque no quieren dárselas de "hackers" capaces de burlar los sistemas de seguridad más complejos que existen.
También quería decir que es posible que si avisan a la empresa internamente probablemente seguiría siendo delito (quizás en menor grado según hasta donde lleguen) y de hecho a muchos hackers éticos los han terminado denunciando... por avisar.
Tampoco pretendo justificar nada, no sé hasta que punto eres consciente de ello, pero por si acaso, la seguridad es muy pobre, casi inexistente y sería el equivalente de que un banco decida guardar el dinero debajo de un colchón que tenga por caja fuerte...
Esto lo digo, no por justificar nada, simplemente que me parece que al margen de que puedas estar de acuerdo o no, y de que seguramente se podría debatir mucho sobre estos temas, sí diría que son cosas bastante comprensibles.
#79 Ya. Sin ánimo de debatir mucho más sobre el tema, sí; me suena que algunos demandaron a quienes entraron en sus sistemas o redes, aun avisando única y directamente al afectado. Aunque por eso incido en que a nivel legal no lo tengo claro; pero que a nivel moral no es para nada lo mismo, y no creo que se deba tratar o aceptar de la misma manera. No es tan dañino avisar a alguien de que se ha dejado la llave en la puerta que hacer públicas las fotos de su piso. Salvando la diferencia entre persona física y empresa.
A ver, el otro tema, y lo que más me sorprende, es las formas del manifiesto y la justificación del ataque. Me falla el tono
guaycutre que usan a veces -- que personalmente creo que sobra siempre, sean "vulnerabilidades de primero", como en este caso, o no. Y me falla ese intento de justificación con un cariz social. Si realmente el objetivo es desenmascarar a cárnicas, o las corruptelas que montan dentro, creo que lo están desaprovechando bastante. Y por eso esta justificación no me convence. Supongo que es el resultado de haber tenido otras expectativas sobre los grupos de Anon y el ser un poco tiquismiquis.En fin, que no me meto en lo de la publicación de las cuentas de la empresa, que pueden ser más o menos comprensibles como dices en tu mensaje. Pero sí con las formas. 1) El tono, 2) su justificación, 3) y subir cualquier dato personal, aunque sea esa captura guarra en que apenas se aprecia, pero que supuestamente contiene ids de usuario [?] y password. Esto no me parece adecuado, ni aunque ya no existan en esa plataforma en concreto; pero posiblemente se reusen en otras.