Si es que no se puede, se empieza a hablar del dia de la internet segura y afloran fallos de seguridad al respecto sin parar.... hace poco ademas Sony pedia a Youtube y Twitter que proporcionara datos privados de los equipos que tumbaron la seguridad de PS3, teniendo acceso a sus claves privadas y dejando a la empresas sin protección alguna vía software (pues todo el software anterior las tiene incrustada y quedaría inutilizable si la bloquearan).
Pero esta vez le ha tocado a Nintendo con una pagina web "pruebayveras" subcontratada para organizar incripciones a los eventos de presentación al publico de 3DS.
Esta vez el daño son mas de 4000 datos REALES de usuarios, o sea, incluimos DNI y nombres reales y la mayoria supuestamente menores ademas.
Pero hay en ello 2 situaciones mucho mas escabrosas a la que no estamos acostumbrados en empresas de esta magnitud.
El fallo fue descubierto el Domingo 6 de Febrero por un chico de 19 años de EOL (enlace post) donde ayer mismo se narraron los acontecimientos con mucho lujo de detalles.
Tras un tiempo de espera la contestación de un correo en el que se pedía a Nintendo que se pusiera en contacto con el... Nintendo prefirió montar un espectáculo.
Nintendo y los medios a empezar con su sensacionalismo y manipulaciones de los echos para desviar el punto de miras al supuesto "superhacker".
Os relatamos a continuación muchos de los detalles y opiniones personales al respecto.
Sistema de seguridad nefasto
Tan simple como entrar a traves de admin.pruebayveras.com, accedias sin necesidad de contraseña a todos los datos, una pass en blanco simplemente (ya hoy desmantelada).
Podias acceder y modificar los datos de todos los registrados.
Algo impensable hoy dia sobre todo en una empresa tan importante pues hasta un grupito de vecinos que no apenas toquen un pc podrian haber puesto al menos una simple contraseña de acceso vamos.
Y bueno, creo que viendo que acusan de hacker a este chaval..., en España todos somos hacker, mas accidentalmente que otra cosa, pues porque vamos... mucho no hubo que investigar.
Pura manipulacion de los medios.
Es mas, cualquiera con algo de logica o por accidente puede que haya accedidos a ellos (ya desactivada esa opcion claro).
Responsable de esa web: 8media
Correo mal redactado
Pero la el meollo del asunto viene ahora...
Os cito un extracto del email que se envió:
Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.En este mensaje se extendía con muchos mas detalles y puede consultarse toda la trama en un hilo oficial dedicado en EOL después de hacerse publico todo ello en otro hilo dedicado al evento relacionado que empezó a salirse del tema principal debido a su importancia.
Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.
Con esos 2 párrafos acusan al autor de chantaje, hacker, etc, cosa normal cuando a una empresa le tocan su fibra sensible pues esta fuga de datos conlleva una buena multa y también algo que resulta mucho mas grave, daña la confianza depositada por consumidores y hasta accionistas.Así desvían la atención del fallo propio usando sus artimañas varias legales.
También hay que decir que el tono del correo seguramente no fue el mas adecuado, seguramente no meditado lo suficiente y claro esta, redactado por una persona inexperta en negociaciones pero con ganas de comunicarse y colaborar (sino, es mas fácil vender un fallo o lista así consiguiendo una buena suma económica).
Hacker/Cracker
En este caso lo usan como tono despectivo, bastante despectivo.
Un hacker no es mas que alguien a que le gusta investigar, aprender por si mismo y mejorarse día a día, la mayoría son solo curiosos autodidactas con grandes conocimientos y la perseverancia e inteligencia necesaria para conseguir mejorar cada día.
Con ello no se persigue beneficio económico ni tampoco dañar a los demás, para un hacker, la mejor recompensa es el conocimiento adquirido y el respeto ganado ante los demás que reafirma su auto complacencia.
Los verdaderos hacker tienen una moral muy alta viéndose en sitios concurridos por ellos como rechazan a gente que no valora la adquisición de conocimientos.
Un cracker no busca el conocimiento ni el aprendizaje en si mas allá del necesario para conseguir un beneficio dado, ya sea económico o dañar a los demás, le importa poco lo ético o moral normalmente.
Por ello a los ejecutables que permiten la copia ilegal de archivos se les llama "crack" mientras que a la forma legal se les llama simplemente "noCD" liberado por muchas empresas para evitar problemas de algunos usuarios o evitar molestas innecesarias.
¿Los medios no saben siquiera usar la Wikipedia para informarse?, la verdad que para lo que les interesa pueden, pero normalmente la información no vende, sino la puesta en escena de esta.
Auditoria
En este caso se hizo bien de contactar con el responsable conocido de la web, pero hay que cuidar bien las formas cuando se trata ello pues como habéis visto podéis ser victimas de un error de seguridad ajeno.
Muchos han sugerido que es mejor denunciar el fallo antes las autoridades ademas, cosa que normalmente puede ser mas aconsejable cuando tratamos con empresas grandes.
Acceder a datos privados es ademas ilegal, no hablemos ya de su copia, aun siendo para tener una prueba (preferible una captura de pantalla o vídeo mejor, hasta un testigo o notario).
Es un tema complicado aun siendo especialistas en el sector, no hablemos ya del pobre chaval que se ha visto inmerso en toda esta trama (el cual ademas ya se presento ante la unidad de delitos informáticos y esta cooperando activamente en las investigaciones, bien hecho).
También si hizo bien en comunicar el fallo una vez este fue solucionado y no antes... pero ante un fallo tan evidente, no se sabe cuantas personas habrán podido acceder a ellos, pues era tan facil de burlar como la del otro "superhacker" del robo de cuentas de tuenti.
Yo por desgracia estaba trabajando offline y entre que me documentaba y leia post el problema había sido solventado... después de saberse que era explotable varios dias y siendo efectivo desde la creación del sitio web.
Si sois auditores, en el caso de trabajar en un sitio dedicado ya sea físico o virtual un simple comunicado advirtiéndolo normalmente sera suficiente, pues entonces se considera avisado y por tanto en ningún momento hay intencion de hacer un uso ilegal de la información adquirida.
Y en el caso de encontrar una falla puntual, mucho cuidado al expresaros para no tener problemas.
No hay comentarios:
Publicar un comentario