Barrapunto

Avisar a Andrea Rossi, que cambie su contraseña... porque sólo le faltó poner: 1234 :P

      En cualquier caso, la verdad es que el servicio es todo un despropósito. Se podría aceptar el error de código visible (aceptar en el sentido de: "weno, vale, se nos ha colado), pero dejar abierta así un mysqld.

      En fin. Las navis. :)

Siempre he querido tener una direccion de correo como seguridadyvigilancia@me.gov.ar :).

Ten cuidado con lo que publicas, que los gobiernos e instituciones públicas con muy ca****s y pueden acusarte ahora de casi cualquier delito que se les ocurra, o culparte de si alguien, a partir de ahora o antes, ha accedido al sistema y ha robado datos.

Lo primero que hay que hacer es avisar al administrador del sistema, cosa que parece que has hecho ya sin que ellos se molestasen ni en verificarlo ni en resolverlo
Si no te hacen caso, deberías haber acudido a la agencia de protección de datos correspondiente de tu país.
Si tampoco te hacen caso (eso es ya más difícil, porque suelen ser más serios) deberías avisar a la unidad de delitos informáticos de la policía correspondiente. Si ellos avisan al administrador de la web en si, probablemente se acojonen y tomen medidas rápidas. Suelen acojonar más las agencias de protección de datos, porque las multas pueden ser muy gordas, pero igual ni se molestan en comprobarlo. Las unidades de delitos informáticos si se suelen tomar la molestia, porque suelen ser, a menudo, gente muy curiosa, y que trabaja en esas unidades precisamente por el reto de hacerlo (otros no tienen ni pajolera, claro)

Finalmente, si tampoco te hacen caso, deberías avisar a un medio de comunicación más o menos importante, pero sin decirles como se puede acceder a esos datos vulnerables, no sea que lo publiquen también y se lie gorda.

Y si no pues ya lo publicas por ahí. Ellos se lo han buscado. Pero mantén lo más a salvo tu identidad, no sea que te acusen de algo, y no pongas la información de manera que cualquier idiota, siguiendo unos pasos automatizados, pueda entrar.

PD: Estos son los pasos lógicos que yo aplicaría, pero mi lógica es muy rara. No sé, ya he visto meter en juicios a gente por cosas similares. Encima que pretenden ayudar les denuncian.

Pero si la contraseña es segura. ¡Incluye mayúsculas y minúsculas! :-P

Veamos si me sale una metáfora más o menos válida;
Imagina que sales de tu piso y al apoyarte en la puerta de un vecino compruebas que éste ha olvidado cerrarla con llave.
Otra posibilidad tal vez más acertada; Pongamos que mientras bajas por la escalera vecinal te entra la curiosidad de mirar debajo de los felpudos de cada vecino hasta que debajo de uno aparece una llave. La coges y pruebas de encajarla en la cerradura más próxima.
Efectivamente, abre. Vuelves a tu casa en busca de la cámara de video para inmortalizar y "dar fe" de tu "increíble" proeza. Sujetando la llave con una mano y la cámara en la otra entras sigilosamente en esa propiedad. Husmeas por todas sus habitaciones en busca de "objetos de valor". Entre todos los objetos personales de tu vecino encuentras una caja llena de llaves. Son las llaves de sus amigos de confianza, o tal vez se trate de un portero y por lo tanto cada una de esas llaves abrirá un nuevo piso cargado de sorpresas.
Una vez obtenidas las pruebas decides hacer la buena acción del día. "Ayudar" al imprudente vecino emitiendo la película de tu aventura en el canal de la televisión local de tu ciudad. Dando con todo lujo de detalles la dirección, ubicación de la llave, contenido del botín, y ¡como no! la coletilla final de "todavía, a estas horas, sigue allí la llave" invitando a entrar a cualquiera.

¿Eres partidario de los linchamientos públicos? ¿Conoces la legislación sobre secretos oficiales? ¿Crees que la revelación de secretos no se aplica en este caso? ¿No temes represalias legales? ¿Crees que merece la pena?

PD: No, no jodamos. No son formas ni fondos.
PD": me recuerda a quienes dicen liberar/ayudar a una población a base de embargos y/o misilazos.

Se podría demostrar con capturas de pantalla, o simplemente dando datos que no comprometan la seguridad, pero dando datos personales y encima enseñando los pasos necesarios para repetir el proceso y hacerse con TODA la información de la base de datos me parece pasarse de rosca.

Aunque los técnicos no te hicieran caso, dime, ¿qué culpa tienen de eso las personas de las cuales has publicado sus datos personales? ¿Y las personas que se van a ver afectadas por lo que has publicado? ¿Qué te hace pensar que los trolls que rondan por inet no van a querer joder aun más cogiendo uno de esos e-mails, de los que has publicado su usuario y contraseña, y enviando mails con un contenido peligroso?

En fin, había maneras de hacerlo, y creo que has escogido la peor.

PD: permitir conexiones externas, no encriptar las contraseñas... En un gobierno esto no se tendría que permitir, más aún cuando han sido informados de esos fallos (si no saben hacer eso, no sé que hacen a cargo de algo tan delicado...).

Cuantos casos debe haber asi en todo el mundo, tanto para instituciones publicas como privadas... Hace poco, en la empresa donde trabajo (que es una petrolera, o sea, una gran empresa), un tipo dejo en el desktop de su Windows, un excel con todos los password de las bases Oracle... Sabiendo el nombre de la maquina, accedi con \\NOMBREPC\C$ y de ahi al desktop y pude agarrar el excel con todas las passwords de las bases oracle de la empresa!!!!. Y si una organizacion privada, con muchos millones de dolares es capaz de tener agueros de seguidad tan horrendos, ni hablar de una institucion publica...

En ambos casos tuve que ampliar el buffer de mi Gnome Terminal para poder capturar toda la salida (mas de 700Kb).

Para eso está el comando tee, que es lo que hay que usar, o algo similar, cuando se hacen cosas de estas para guardarlo todo, todo y todo.

hubiera enviado un correo automático a cada uno, para que se enteren, así votan a esos "informáticos" del trabajo, luego lo publico.

Mmmm, conociendo como son las cosas de los gobiernos, seguro se quedan porque trabajaron por el partido, son hijos de papi y mami, etc.

Sebastián: tenés los nombres completos, cargo que ocupan y dirección de correo de más de 1300 empleados, así como sus direcciones y teléfonos personales.

¿Cómo podés decir que no conseguiste contactar con nadie?

Sin ánimo de molestar os pido que por favor no publiqueis cosas como estas.

Si alguien tiene problemas de seguridad, hacerlos públicos fuerza a solucionarlos, a costa de crearles un problema aun mayor.

Mejor no ayudar de esta forma.

Lo que has hecho, no esta bien, y te lo dice alguien que ha descubierto muchos fallos en aplicaciones web en los ultimos anos.

Algunos de los que se han hecho publicos, por ejemplo, la-moncloa.es, pp.es, elcorteingles.es, marca.es. En el caso de marca.es tuve acceso a todos los usuarios registrados, incluyendo direcciones, telefonos y DNI, al final, consegui hablar con ellos y en cuanto mencione la ley de proteccion de datos se pusieron las pilas.

En esos casos tuve que hace publico el error sin publicar la vulnerabilidad para que alguien se hiciera cargo y arreglara el problema, pero nunca permiti a terceros explotar la vulnerabilidad.

Lo que has hecho esta mal, y supongo que tendras que pagar por ello, porque el fin, no justifica los medios.

Yo lo que hago generalmente cuando no puedo contactar con los responsables del servidor en cuestion es publicarlo en mi web (publicar que hay un fallo, no el fallo) o contactar con alguien que pueda meter presion (un periodista suele ser lo mejor). Una vez consegui acceso a una base de datos donde aparecian datos personales de 60 mil personas, incluyendo numeros de tarjeta de credito, me puse en contacto directamente con la policia. La policia no deberia de atacarte, no es delito ver la puerta de un almacen abierta sin que nadie lo vigile, el delito es entrar en ese almacen y alardear que lo has hecho.

Ahora mismo llevo desde principios de ano intentando que una institucion publica espanola (una bastante importante) arregle un fallo en su pagina web, no tan grave como el que se comenta aqui, pero un fallo al fin y al cabo. La unica respuesta que he obtenido es "estamos trabajando en ello", pero mientras el fallo lleva dos semanas sin corregirse. Al final me obligaran a publicar que hay un fallo y llegaran las lamentaciones y lo arreglaran a toda prisa, pero esto es asi y seguira siendo asi, y lo que hay que hacer es intentar que deje de ser asi pero sin perder la razon en el camino, como tu has hecho.

Como dicen por aquí, has actuado mal. Aparte de todo lo que ya te han dicho, piensa que la misma gente que puede denunciarte (por hacker malo maloso) es aquella a la que estás dejando como ineptos. ¿Como crees que se lo tomarán? Seguro que no "pasan de todo"


Lo digo por experiencia: en la universidad una vez presentamos un trabajo sobre vulnerabilidades en la web, con 3 ejemplos "prácticos" con apliaciones web de la propia universidad.
Primero reportamos los errores a los responsables, junto con propuestas para la solución de los mismos. Fuimos a hablar con cada uno de ellos personalmente, y nos aseguramos que habían sido corregidos antes de realizar la exposición (es decir, antes de hacerlos públicos).
Pues bien, aun así, el departamento de Servicios Informáticos (responsables de uno de los fallos) nos "denunció" al rectorado por mal uso de la infraestructura. Por suerte, el profesor nos defendió y ahi quedó la cosa, pero aprendimos la lección...

No se que actitud es peor, si la de la persona que ha publicado esa información en su página web, o barrapunto por hacerse eco de la noticia y proporcionar los enlaces a dicha información. Ultimamente barrapunto parece un portal de temática hacker para script-kiddies. Señores, para eso ya está la web de cuartango, carapez , AIH , carlos mesa y demas calaña online. SERIEDAD!!

Ya te lo ha dicho mucha gente, pero simplemente lo repito: lo que has hecho es repugnante. Simplemente por alimentar tu ego y decir lo buen hacker que eres (sabe hacer una consulta SQL, wow) acabas de poner datos personales de gente que no conoces en tu pagina y has incitado a la gente a robarlos y a cometer un delito.

Tu si ves un coche abierto y el duenho no te coge el telefono no le dices donde esta el coche a todo el mundo para que el duenho aprenda lo que es bueno no? es que hay que ser cabron :)

En fin, no se como ira lo de las leyes alli, pero si esto lo haces aqui te cae un paquete como una casa, y muy merecido ademas. Yo de ti lo iba borrando ya (aunque seguro que ya esta cacheado en google y sabe dios donde mas...)

... como siempre, es tuya por haber descubierto el error, no de ellos por cometerlo.

Consejos: Que nadie se conecte, que nadie haga un dump (ya se que es tentador...) sobre todo porque supongo que quedará guardado un log...

Espero que no tengan la misma contraseña que esa en el root, el puerto 22 abierto y PermitRootLogin a true o algo similar.

Por cierto, y esto va al de la página, no creo que debieses haber publicado TODO eso, el full disclosure es ilegal en muchos países, también sugiero que se quite la página que explica como entrar de barrapunto, se podría estar cometiendo algún delito al informar de este error de esta manera (no lo se, pero mejor tener cuidado).

De todos modos, ya les vale a los administradores, personalmente, si fuera uno de los usuarios afectados, demandaría al que ha explicado como obtener mis datos personales. Como mínimo ocultarlos con xxxxxxxxxx para que no sean totalmente legibles.

Pues eso, que aconsejo que cualquier ip no se vea relacionada en este turbio asunto.

La Administración Pública Argentina cuenta con un CERT donde se pueden realizar este tipo de denuncias: www.arcert.gov.ar
En este momento nos estamos poniendo en contacto con los administradores del Ministerio de Educación.
En ArCERT contamos con una base de responsables informáticos de muchos organismos públicos de Argentina y colaboramos en la resolución de este tipo de problemas. La resolución de incidentes demuestra ser mucho más rápida por esta vía.
En muchos casos comunicarse con los administradores de un sitio por cuenta propia es engorroso y puede causar una falsa sensación de ser ignorados, porque la cuenta a la que se envia la información no es la correcta.
Ya saben que hacer la próxima vez.
Saludos

... me acabo de dar cuenta que a los irresponsables de turno de esa reparticion le estamos pagando el sueldo con nuestros impuestos!!!! Bah! Ya me amargue el dia :-(

Haaaay Sebastian... haaay Sebastian!!! Si tu gesto era el correcto, y deseabas resolverles este problema, hubieras buscado otra via para contactarlos, y principalmente bajo ningun concepto, NUNCA lo hubieras publicado en tu blog de esa forma, y NO lo hubieras publicitado aqui en /. donde sabes que te ganarias unos cuantos hits a tu pagina. (o quizas esa era la intencion primaria?)
Vamos...!!! no nos trates como niños inocentes. Ya tienes tus 5 minutos de fama... ahora espero que el precio no sea caro para ti.

Concretamente aqui>> http://barrapunto.com/ciberderechos/06/01/13/12282 40.shtml [barrapunto.com]. Aunque requiere meterse en gastos, y el "heroe" de esta historia en concreto no podria sacar beneficios como el de la historia que apunto...