lunes, febrero 18, 2013

Hackeada la web de los Premios Goya. Datos publicados.

Anoche tuvieron lugar los Premios Goya 2013 del Cine Español, y al mismo tiempo se publicaba en Internet gran parte de la base de datos de los asistentes a dicha gala, como los de muchos miembros de la Academia de Cine. El hackeo y la publicación de datos venía desde Lulzes y dejaba en AnonPaste una cantidad de datos personales, como nombres, direcciones de correo electrónico y números de teléfono personales que a más de uno va a dar  un quebradero de cabeza.

Figura 1: Parte del volcado de datos personales de los asistentes

Todo tiene pinta de ser un SQLi a un PHP mal codificado, algo que deja a las claras que de nuevo, una gran institución cae en el viejo error de poner en Internet una aplicación web sin haber pasado por una Auditoría de Seguridad de un equipo de hacking ético. No tiene sentido. 

No sé quién daría la orden de publicar la aplicación web sin auditarla externamente, no sé si algún informático dijo en su momento que esto era una locura o no, pero lo cierto es que ahora este fallo tan sencillo de detectar en cualquier test de intrusión va a traer problemas personales a todos los que acaban de perder la posesión de sus datos personales y a la organización detrás de la web.  Tú no lo hagas nunca: ¡AUDITA antes de salir a Internet!

Saludos Malignos!

8 comentarios:

  1. Tener un SQL Injection no es únicamente un problema de seguridad, es un síntoma de un problema más profundo, como por ejemplo:
    -desconocimiento de las herramientas a utilizar
    -Peor rendimiento de consultas de base de datos
    -mala gestión de las fechas de entrega del proyecto, sacrificando calidad del código por alcanzar una entrega mal planificada.

    y por cierto feliz gran día del culo comiquero ;)

    ResponderEliminar
  2. Hola, Acabo de ver la noticia de Anon y el Tema de los Goya y debo de decir que veo algo muy sucio, el problema que veo es que en muchas ocasiones al entrar en una web de Luz, ellos te enlazan como en este caso http://pastehtml.com/view/csuc40qqi.html

    sin ningún tipo de aviso una rastrera jugada, SI SEÑOR.


    Mucha gente puede abrir los enlaces sin tener NI IDEA de lo que esta abriendo o como en algunos casos sucede metes la pata por no ver bien el enlace, Este tipo de jugadas no las veo correctas

    ResponderEliminar
  3. NO es necesario una auditoría de seguridad, es necesario contratar a gente profesional y pagarles como tal, no a un carpintero reconvertido a becario con un curso CCC de "informático."

    ResponderEliminar
  4. No pasa nada Chema!
    El BIT culpara algún inocente como suelen hacer.

    Gracias a la colaboración de alguno que quiere tener protagonismo.

    ResponderEliminar
  5. @Anónimo de las 10:49, si el BIT culpa a alguien no será un inocente, publicar datos privados de personas no es ético ni profesional (ni legal).

    Acabo de entrar a la web y hay vulnerabilidades por todos lados, hasta un mono usando cualquier herramienta automatizada hubiera podido sacar los datos sin ningún problema.

    No se como han sacado a producción tal cosa, pero desde luego haber contratado un servicio de auditoría les hubiera evitado todo este follón.

    Un saludo.

    ResponderEliminar
  6. El CMS que utilizan se promociona de esta manera:

    Seguridad
    Olvídese de instalar parches de seguridad, el sistema está especialmente protegido frente hacking, exploits y spam. Las mejoras de seguridad se instalan automáticamente sin afectar al diseño y sin problemas de incompatibilidad.

    ResponderEliminar
  7. ¿que habrá en esas cuentas de Whatsapp?

    ResponderEliminar
  8. Bueno a los de la distro Chackra también los hackearon por estos días ¡¡y eso que usaban linux en sus servidores!!!.

    ResponderEliminar