El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

CategoríaInteres general

CFT Lota Arauco expone los datos personales de todos sus alumnos

agosto 20, 2010 /

Así es, el Centro de Formación Técnica “Lota Arauco” expone en su sitio web los datos e información personal de más de 3 mil alumnos.
Este ejemplo solo nos demuestra que nadie sabe donde irá a parar nuestra información, nadie nos asegura que los datos entregados a un tercero serán perfectamente tratados y que nadie más podrá acceder a ellos.



Los datos que podemos ver son el rut de la persona, fecha de nacimiento, nombre completo, dirección, celular, nombre del “apoderado”, numero de telefono del apoderado, rut del apoderado, dirección del apoderado, entre otros.

Esto es un atentado contra la privacidad de las personas.

EDITADO (26 de Agosto):

El archivo que contenia la informacion personal de todos los alumnos, y ademas informacion de todos los estudios y carreras, tanto como horarios, horas asistidas, etc correspondia a un “dump” de una base de datos ubicado en:
https://cftlotarauco.cl/cas/devel/database/old_migracion/registro_data_dump_explotacion.sql
El cual ya ha sido removido.
Yo no accedí a ningun sistema de información, simplemente a una URL publica, sin ningún tipo de restricción ni protección.

Me contactó el responsable actual del sitio web y me explicó que estos registros pertenecian a una base de datos antigua (hace un par de años) explicado la negligencia que cometió el encargado anterior y comentarme que lo había solucionado. Tambien me contó que una persona había intentado lucrar con la información de mi blog y que gracias a ello se dió cuenta que había información sensible expuesta en el sitio web.

Me parece increible que exista gente que quiera lucrar con el trabajo de otros, este personaje, quien buscaba el lucro mediante mi post, se llama Joan Calderon y su correo electrónico es joan.calderon@quanti.cc

TVN permite, desde su sitio web del mundial, redireccionar a un sitio maligno

junio 29, 2010 /

El sitio web que TVN destinó a las transmisiones del mundial, https://tvndeportes.cl, permite que cualquier persona pueda redireccionar a algun usuario a un sitio maligno.

La URL vulnerable es https://tvndeportes.cl/intersitial/index.html?link=, a “link” podemos asignarle cualquier URL y el navegador será redireccionado a esa URL. Por ejemplo:

https://tvndeportes.cl/intersitial/index.html?link=https://sitio.webmaligno.com/pics/pics.exe

Quizá este método solo nos permita redireccionar a un usuario y nada mas, pero con un poco de imaginación y trabajo, perfectamente ese usuario podría ser engañado por email para ingresar a un sitio confiable de TVN y redirigirlo a un sitio de streaming falso, donde le haga aceptar la descarga de un archivo (troyano) para que pueda ver el video. Aprovechandose de todo esto del mundial, la locura por ver los partidos en alta definicion, perfectamente un atacante podría insitar a un usuario a descargar un programa para poder ver el partido, desde el sitio de tvn, en alta definición y gratis, obviamente “ese” programa sería un virus o algo similar.

La inseguridad de los accesos por defecto en los sistemas

junio 21, 2010 /

Como desarrollador y administrador de sistemas, he tenido varias experiencias y se como funciona esto de la asignación de contraseñas y de accesos por defecto, ya sea cuando el sistema lo usaran unas cuantas personas o varias. Me refiero tanto a los sitemas web como accesos por distintos servicios tales como ssh, ftp, correos electrónicos, etc.


Generalmente los criterios para asignar accesos a los distintos sistemas es los mismos, existen las que son aleatorias con y sin patrones, las típicas “dos letras iniciales del apellido seguido del año de nacimiento”, etc. Quizá el problema no está en asignarles claves por defecto fáciles a los usuarios, sino en los mismos usuarios que no las cambian o bien tardan una eternidad en ingresar por primera vez al sistema. Por esto mismo, pienso que la seguridad de los sistemas no debe depende de los usuarios, debe depender del sistema, a menos que tengamos muy acotado el tipo de usuarios que tendrá el sistema.
En este post hablaré sobre los tipicos accesos a universidades, cuentas de correo de empresas, cuentas de servidores ftp, ssh, web, etc.

Seguir leyendo

Cosas que encontramos en los archivos .bash_history

abril 29, 2010 /

El otro día, haciendo revisión y limpieza en los servidores, me dediqué por un par de minutos a revisar los archivos .bash_history de algunos usuarios y me encontre con varias sorpresas, desde cosas chistosas hasta problemas críticos de seguridad. Los usuarios son muy buenos para inventar comandos, probar cosas, inventar pasarle parametros a los comandos, etc, es muy chistoso ver como se pasean por mil directorios antes de llegar a donde quieren llegar, como visualizan los archivos o como encuentran lo que buscan. Está bien que los usuarios son solo usuarios, no deberían por qué saber ni ser expertos en ejecutar comandos unix en un prompt, pero aun asi sigue pareciendo cómico para uno ver cómo lo hacen.
Para quienes no saben, el archivo .bash_history corresponde a un archivo de registro o logs que guarda los comandos ejecutados en bash por un usuario en particular, cuando un usuario ingresa vía ssh a un sistema por ejemplo, ejecuta los típicos comandos “dir, cd, ls” y estos quedan registrados.

Seguir leyendo

Seguridad cotidiana: cajeros automáticos, tarjetas de crédito, teléfonos públicos, etc

enero 17, 2010 /

Con seguridad cotidiana me refiero a la seguridad de lo que vivímos en el día a día, cuando usamos un teléfono público, cuando vamos a un cajero automático a sacar dinero o bien cuando hacemos una compra con tarjeta de crédito.
Yo he sido víctima de la falta de seguridad en éstos 3 casos, si bien nunca me han robado dinero ni clonado mi tarjeta, si me he sentido inseguro utilizando alguno de los servicios. No hablaré solamente del fallo de seguridad de las empresas, tambien de la poca seguridad que tienen los mismos usuarios

seguridad cotidiana: cajeros automaticos, tarjeta de credito, telefono publico

Tanto las empresas como los usuarios (clientes) no tienen las suficientes medidas de seguridad al utilizar uno de éstos servicios, muchas veces los usuarios no denuncian una anomalía, por lo que para las empresas es difícil dar solución a algo de lo que no tienen conocimiento. Por otro lado, las empresas, cuando un usuario les denuncia algun problema, no son capaces de dar solución.

Seguir leyendo

Jornada de difusión filosófica del software libre

enero 16, 2010 /

Luego de haberles comentado lo que estábamos preparando junto a la gente del HacklabCL y luego de varias reuniones y discusiones, ya hemos puesto fecha a nuestra primera jornada oficial de difusión de la filosofía del software libre.
Se llevará acabo en Kernelhouse el día miércoles 20 de Enero a las 20:00 horas. Los temas a tratar son introducción a los conceptos y paradigmas del software libre, respeto hacia la voluntad del autor, libertad tras las licencias populares y un tema bastanta particular titulado “tangibles e intangibles”.

Antiguas entradas Nuevas entradas

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑