Etiquetaexposure

Datos de clientes de Aguas Andinas expuestos por un tercero

Hace unos minutos me llegó un correo promocional de Aguas Andinas, invitandome a cambiarme a Boleta Electrónica.

 

unnamed

El correo fue enviado desde la cuenta “Aguas Andinas” <ventasti@mailpromo.cl>. Todo indica que Aguas Andinas le entregó la base de datos a esta empresa de spam mailing. El problema es que una vez mas los proveedores de este tipo de servicios no cumplen con las normas minimas de seguridad y violan la privacidad de los usuarios. En este caso, todo indica que Aguas Andinas no exige seguridad a sus clientes y le entrega la información de nosotros a cualquiera.

Seguir leyendo

Espionaje de empresa INFOMIN a sus empleados mediante KeyLogger

Un KeyLogger es una herramienta que permite almacenar todo lo que un usuario escribe con el teclado, permitiendo almacenar contraseñas, nombres de usuarios, datos bancarios, textos, etc. Ser víctima de esta herramienta es potencialmente peligroso, ya que por lo general se oculta entre los procesos y no nos damos cuenta de que alguien está registrando todo lo que hacemos y enviandolo a un servidor externo.

La empresa INFOMIN, dedicada a otorgar servicios de consultoría tecnológicas a las mineras de chile, está almacenando en sus servidores información obtenida desde un KeyLogger aparentemente de un empleado. La información corresponde al año 2012 y recocleta todo tipo de información como usuarios y contraseñas de Facebook y tiendas comerciales, entre otros. Un claro espionaje de la empresa (o alguien de la empresa) hacia los empleados.

Seguir leyendo

Privacidad: Información privada expuesta por terceros sin responsabilidades

Muchas veces nos preguntamos por quien es el responsable al momento de encontrar una vulnerabilidad en un sitio web que expone información de las personas, si quien hace publico el hallazgo o bien quien comete el errror de dejar esa vulnerabilidad. La verdad es que obviamente es una responsabilidad compartida, pero cuando los encargados de resguardar dicha información no hacen bien su trabajo y no implementan ningún tipo de medidas de seguridad, la responsabilidad –creo yo– corresponde a quien comete el error de dejar la puerta abierta.
Tambien es cierto que existe una gran diferencia entre romper un sistema informático para acceder a información confidencial y encontrar todo abierto, donde es llegar y descargar información donde incluso los motores de busqueda son capaces de indexar dicha información. En este caso en particular, yo me referiré al segundo caso: Cuando dejan todo abierto.

La idea de este artículo no es exponer información confidencial ni mucho menos, simplemente hacer una comparativa de casos en la vida real e internet.

Seguir leyendo

Banco Estado expone informacion sobre las transferencias realizadas

Me llegó un correo informandome de una vulneraiblidad critica que afecta al Banco Estado, especificamente a la plataforma movil del banco estado. Se trata de la divulgación de un log de transacciones ubicado en los servidores del Banco, accesible libremente por cualquier usuarios. El log no se encontraba protegido bajo ningun mecanismo de seguridad y la información que exponía es increible.

La información expuesta en este archivo corresponde a nombre de la persona que está realizando la transferencia, nombre del destinatario, email del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y además, la password que utiliza el usuario para ingresar al portal. Todo esto debería estar cifrado, ya que utilizan SSL para las peticiones, pero en este log aparecía todo en plano. No tiene sentido que cifren el trafico para prevenir sniffeos y robos de datos en las redes si exponen todo el trafico en tiempo real en texto plano. Es como no usar SSL.

Seguir leyendo

Accediendo a los servidores de desarrollo de LAN

Muchas empresas acostumbran a exponer en internet sus servidores de desarrollo y QA, en este caso, LAN ha dejado con libre acceso el servidor de desarrollo.

El servidor tiene una URL y dirección IP distinta y se conecta a una base de datos distinta,y me imagino que los controles de seguridad no son los mismos. Siendo un servidor de desarrollo deberian existir opciones de “debug”, filtros y protecciones desactivados que podrian ser aprovechadas por un atacante.

En el codigo fuente de un javascript, encontré una sentencia que discriminaba si el sitio era “lan.com” o “dev.lan.com”, sumiendo que el segundo corresponde a un servidor de development/desarrollo.

El host dev.lan.com no resuelve a ninguna IP, pero con la ayuda de Google podemos encontrar el host correcto.

Seguir leyendo