Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo ""Alto Estándar de Seguridad" del PortalInmobiliario.com: Guardar las passwords sin cifrar" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
PortalInmobiliario.com es un sitio web que permite publicar, buscar y cotizar viviendas para arriendo o compra. Según ellos, son El punto de encuentro de la oferta y demanda inmobiliaria en Chile.
Como la mayoría de los sitios que tienen login y obligan a sus usuarios a registrarse para adquirir cierto tipo de información, el PortalInmobiliario tiene su propia cláusula de términos y condiciones. Ellos le llaman “Beneficios y Alcances“, y en ella podemos ver la sección donde dice “Reserva y confidencialidad de datos”:
La parte más importante es donde dice
Portalinmobiliario.com ha desarrollado tecnologías e invertido importantes recursos en mantener un alto estándar de seguridad de las bases de datos de propiedades y usuarios, pudiendo asegurar la mejor protección para ellos.
Especialmente la parte que marqué con negrita.
Lamentablemente para su alto estándar de seguridad y para los usuarios que creen en ellos, las claves/passwords de usuario se guardan en la base de datos sin cifrar, es decir, cualquier persona que acceda a la base de datos podrá conocer las passwords.
¿Cómo saberlo?
No es necesario ser un experto informático ni hacker para darse cuenta, es bastante sencillo.
Hace unos meses me registré en ese sitio y luego de no entrar por mucho tiempo se me olvidó mi contraseña, por lo que me fui a la opción “Recuperar Contraseña” y mi sorpresa fue cuando me llegó el correo con la información solicitada: Me enviaron la password en texto plano!
Obviamente, la única conclusión que puedo sacar es que no están cifrando o hasheando la password usando un algoritmo one-way. Hay 2 opciones, o la cifran usando uno que permite descifrado o bien directamente no la están cifrando, cualquiera sea el caso, no es seguro.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo ""Alto Estándar de Seguridad" del PortalInmobiliario.com: Guardar las passwords sin cifrar" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
junio 15, 2011 a las 10:35 am
SI estan usando cifrado que se puede descifrar usando sus propias llaves no lo veo inseguro. PGP por ejemplo deja descrifrar solo teniendo la llave privada y no por eso es inseguro, la llave la podría tener el propio sistema.
junio 15, 2011 a las 10:42 am
jajajaja .. Hola @Elinfame.
Es exactamente la respuesta que esperaba. Considere ponerla entre “las posibilidades” pero luego dije mejor no.
Realmente, quien usa una llave PGP (o algun metodo de llave publica/privada) para almacenar datos en una base de datos?
Bueno. El punto no es este, el punto es otro. Por qué ellos podrían leer tu clave? Las password deben cifrarse y hashearse con metodos de una sola via, es decir, que se puedan cifrar y no desciifrar, pues es una CONTRASEÑA, no puede ser legible.
Que una contraseña sea legible, aunque esté cifrada con llaves publics/privadas, es una falla de seguridad. Si un atacante entra al sistema, es cosa de revisar el codigo de la aplicacion y saber donde está la llave para poder descifirarlo. Entonces, cual es la seguridad?
saludos
junio 15, 2011 a las 10:45 am
Jajaja, excelente respuesta Zerial, sin embargo ya pasa a ser un tema de opiniones personales, por ejemplo SAP hace hash one-way pero su hash es relativamente debil y es facil de romper y no por eso es más seguro que un Hash AES que se puede descifrar usando algun tipo de Key o llave, pgp es solo un ejemplo. De todas formas se nota que en portal inmobiliario tienen un mayor problema con sus claves. Saludos!
junio 15, 2011 a las 10:48 am
Asi es @Elinfame, no por tener un hash one way significa que sea seguro ya que, como dices, puede que perfectamente ese hash oneway sea facilmente “rompible” o “colisionable”.
saludos
junio 15, 2011 a las 2:12 pm
@Zerial Se me olvidaba… este era el aporte que queria dejar antes del comentario, no me dan ganas de hacer disclosures asi que es todo tuyo: http://www.portalinmobiliario.com/Buscador.asp?Pref=1&Home=True&cmdAceptar=&chkVenta=ON&Tipo=24343%253C%2522%253E&BusEn=3&Reg=40247alert(“XSS”)
junio 15, 2011 a las 2:14 pm
Bueno, tu pagina filtro el script del XSS del portalinmobiliario, pero tu ya sabes la idea 😉
junio 15, 2011 a las 2:16 pm
Gracias por el aporte @Elinfame
saludos
junio 24, 2011 a las 10:58 pm
http://www.portalinmobiliario.com/personas/Email.asp?Email=%22%3E%3Cimg%20src=.%20onerror=alert%281%29%3E
Acortado por si se rompe el link http://bit.ly/kw3aNx
junio 25, 2011 a las 1:32 am
@seth: Hasta ahí llegó el “alto estándar de seguridad”
agosto 3, 2011 a las 6:58 am
Bueno zerial, primero, excelente blog, felicitaciones.
Segundo, lo que dices respecto a las claves cifradas es verdad, si bien es posible que el texto este cifrado, no es seguro que sea así debido a que como dices, si un usuario mal intencionado logra dar con el código de descifrado o el algoritmo más la key, constituye una falla de seguridad muy grande solo si descuidan la seguridad de sus servidores, porque también como dice @Elinfame, si fuese un hash one-way con muchas colisiones o hubiese muchas bases de datos con hashes de este tipo (como ocurre con md5), constituye una brecha de seguridad posiblemente igual, que la de almacenarlas bajo texto cifrado.
Si lo analizas mejor, cifrada o no, de igual forma no es moral, porque si un fucking BOFH (espero que conozcas este termino xD) tiene acceso a estas contraseñas cifradas o no cifradas, puede contrarrestarlas con las contraseñas de nuestros correos electrónicos, y si da con alguna en la que sea igual, podría acceder a ellos; pero esto ya es una de las brechas más grandes de seguridad, una falla del BIOS (Bichito Ignorante Operando Sistema xD), es decir entre el ordenador y la silla/cama/mesa/watér/etc. xD