Ferrocarrils de la Generalitat Valenciana (FGV) ha presentado una denuncia contra el ingeniero informático que advirtió el pasado mes de diciembre de la existencia de un agujero de seguridad en las apps de Metrovalencia y TRAM. La empresa pública de transporte toma esta decisión tomada al entender que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 6.000 usuarios al alcance de terceros.
Comentarios
Este país de mierda es increíble, en vez de corregir el problema, te cebas con el que te hace ver que tienes un problema.
Hay 2 tipos de gente, a la que le corriges y se lo toma a bien, te da las gracias y le pone remedio, y la que se encabrona y arremete contra el que le corrige porque ha visto su ego manchado... como en la vida misma.
Se van a gastar en abogados lo que no se gastaron en contratar a un buen ingeniero al principio.
Esto sólo pasa aquí 😥
Menudos ineptos, en vez de preocuparse por su software quieren aplastar a quién le saca los fallos. Espero que la denuncia no progrese.
"Existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana"
Típico.
Peces gordos de FGV: "¿Qué es esto de poner en evidencia que nos hemos gastado lo mínimo en informática para poder llevarnos más tajada? ¡Hay que denunciar a ese cabrón!"
Aviso a navegantes. La próxima vez, en vez de ser un buen ciudadano y avisar a la empresa, id al juzgado a poner una denuncia por violar las leyes de protección de datos. Se van a enterar igual y ya no das opción a que te denuncien a ti.
#1 Es algo común, los imbéciles que han puesto a dirigir el cotarro no tienen ningún recurso intelectual y no les gusta que sea público
#1 no es que no tengas razón,pero seguro que su contrato tenia una clausula de confidencialidad y habrán tirado por ahí.
Lo sangrante es que FGV no va a denunciar a Proconsi SL por haberles programado un app que expone datos de sus usuarios.
Es como si contratas a un carpintero para que te fabrique una mesa de madera a medida y denuncias al colega que descubre termitas en la mesa en vez de al carpintero
#10 totalmente de acuerdo, que una empresa chapuzas denuncie al que ha destapado sus chapuzadas entra dentro de lo normal (aunque si existiera verdadera justicia no sería posible), ahora bien, que una empresa pública no denuncie a quien le ha timado es una puta vergüenza (por mucho que sea habitual en España)
#7 Lo peor es que parece que eso fue lo que hizo
El informático que ha presentado la denuncia, que también ha remitido un escrito a la Agencia Española de Protección de Datos (AEPD), adjunta en la misma una auditoría donde explica, punto por punto, el problema que lleva a que estos datos estén en abierto
La 'app' de Metrovalencia deja al descubierto los datos de 60.000 usuarios
La 'app' de Metrovalencia deja al descubierto los ...
valenciaplaza.comLa denuncia al usuario es por usar herramientas para demostrar que se podía acceder a los datos.
#3 con todo lo que han robado les sobra para legiones de abogados
#11 timado? estan todos en el ajo
#14 que los responsables de la empresa estén en el ajo (que estoy de acuerdo contigo que seguro que lo están) no quita que la empresa pública haya sido estafada, siendo todos los valencianos los que pagan la estafa
#15 y los responsables politicos que la contrataron tambien
Ya lo expreso dpm en un gag cruz y raya en la tele "... A alguien le ha pasado algo en alguna parte en algun momento".
Al final los hackers eticos van a tener que decir cosas similares "teneis un agujero de seguridad en alguna parte de vuestra infraestructura" y si quereis saber cual es hacedme una oferta y canto, porque los políticos solo entienden en de extorsion y chanchullos asi que tienes que hablarles en su misma jerga!
#9 Pero si es un usuario, no un trabajador de la empresa...
#17 Y creo que Cruz y Raya se basaron en un gag de Gila: "Alguien a matado a alguien por aquí..."
Quien ha tomado la decisión de denunciar dentro de Ferrocarrils de la Generalitat Valenciana (FGV) debería ser fulminado en el acto. Si encuentran un error de tu responsabilidad lo arreglas y das las gracias, y si alguien ha podido acceder a la información personal es por tu culpa, por lo que deberías pedir perdón y apechugar con las consecuencias de tus actos.
En España cuando encuentras un problema no hay que avisar, hay que sacar tajada. Lección aprendida.
#2 Hay 10 tipos de personas ...
#12 Usar herramientas Mira, es que ha usado un martillo!
#20 pedir perdón y DIMITIR, que no pasa nada por irse a hacer otras cosas...
#13 #3
Los abogados los vamos a pagar con nuestros impuestos
#1. 'Nuestros' gestores entienden del desarrollo, del mantenimiento y de la vida de un proyecto de software lo mismo que de física cuántica y el enigma de la tortilla de patatas de Schrödinger con y sin cebolla en superposición.
En paises del norte de europa, aparte de condecorarlo, a este ingeniero se lo rifarian las empresas públicas y privadas.
A mi entender se juntan tres pecados capitales , ira, envidia y soberbia . Ira porque el cabreo y el odio a quien les enmendo la plana debe ser del diez, soberbia por no reconocer sus defectos, y envidia porque ellos no saben programar bien.
#21 Tampoco hay que rendirse automáticamente.
Podrías avisarles de que tienen una vulnerabilidad y pactar con ellos que no van a tomar represalias.
Es muy penoso, pero es mejor que delinquir.
Todo bien, todo correcto... En fin, estas cosas me crispan. Google hubiese dado unas recompensa.
#1 La omertá debería darse desde primero de EGB para que luego no nos pasen estas cosas.
#26 Mas que gestores, son Neandertales con cargos públics
#31. Los Neandertales por lo menos tenian cerebro.
Si 'nuestros gestores' fueran planetas podriamos descartar la vida inteligente en toda la galaxia.
(CC #26)
#12 En un país donde no se aplica la responsabilidad patrimonial de los funcionarios en estos casos de franca temeridad y mala fe contra los "whistleblowers" se dan demasiado frecuentemente estos arranques de "soberbia administrativa". Estoy casi seguro de que se archivará la denuncia.
#22 Los que saben binario, los que no saben binario, y los que no se esperaban un chiste en base 3.
#32 Si, tienes razón, estos tiene algo sobre los hombros para mantenerles la peluca...
#28 ¿Pactar? ¿No acabas de leer que le han denunciado?. No, eso se hace así: Mandas un mensaje que no se pueda rastrear para avisar y, si no hacen caso, intentas vender la vulnerabilidad y si nadie te la compra la publicas en alguna página 0day y que les follen a esos hijos de puta.
#18 mis neuronas no están muy finas pues,ley que era un Ingeniero informático,y pensé que era alguien que trabajaba en el proyecto.
#12 Entonces la próxima vez que utilicen el buzón de chivatos de El Diario para proteger su anonimato y que sean otros quienes denuncien.
O, en su defecto, que se lo cuenten a los abogados de Abascal para que los entierren en demandas judiciales si el Gobierno en posesión del ente público en cuestión es de izquierdas, como parece ser el caso de FGV (Cc #13 )
#24 No, hace falta CESAR más. Si no dimites, que te dimitan sin miramientos.
Hay que decirlo más.
Menuda panda de capullos. En vez de agradecer una auditoría gratis, carga contra el mensajero. El próximo mensajero, publicará lo descubierto de forma anónima sin avisar, o venderá la vulnerabilidad para que otro se aproveche.
#34 10 en base 3 serían 4 respuestas...
#23 Es complicado. Si tú tienes una puerta cerrada con llave y yo demuestro que se puede abrir con un destornillador y entro en tu casa... probablemente me caiga un puro por meterme donde no me llaman aunque la intención sea avisar de la falta de seguridad.
#28 hombre, delinquir delinquir... tampoco nos vengamos arriba eh
#43 El problema es que no había esa cerradura, de ahí el tema...
#9 que contrato? wtf
#12 #7 pues mejor sacar los fallos a la luz de forma anónima
#12 Usar un único token estático para TODAS las peticiones es algo que se puede comprobar facilmente por muchos medios, en este caso ha hecho uso de ingenieria inversa, pero un capturador de paquetes en su propia red y usar la wifi para realizar la conexión también le podría haber valido para ver que TODAS las sesiones compartian token, luego ya es cuestión de lanzar peticiones al API con ese token y a ver que sale, es que de verdad no tiene puto sentido nada de esto.
También un 10 al genio que decidió que todas las peticiones compartieran token, bienvenidos al nuevo estandar mierda.
Esto os puede arrojar algo de luz:
Por lo que tengo entendido, la jefa de sistemas es una persona bastante peculiar que no tiene siquiera la carrera de informática y que encima está siempre presionando a los pobres chavales de las contratas.
#42 Em... no. 1=1, 2=2, 3=10
#50 Para entrar a trabajar en FGV, en los grupos bajos, se tiene que acceder vía oposición... en cambio en los grupos más altos se hace a "dedo", esto también puede explicar más cosas.
#36 Coño, han denunciado porque el programador les denunció antes.
#8 gañaaaaaaaaanessssssssssssssssssssss
#3 joder como le has dado
#5 "Existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana"
madre de dios
#33 ya sabes en este puto país de mierda la administración tiene "imperium" (todos los actos administrativos se presumen validos y ejecutables [aunque en realidad no lo sean, y si no te gusta vete al juez]), se lo han creído demasiado; y en otros países la administración no es tan poderosa
#51 Binario es base 2, en base tres: 2=2 y 3=20.
#29 en el país de los gañanes que quieres
#10 Lo que también creo que es importante resaltar es que FGV debería de controlar lo que subcontrata. Le han dado una mierda, pero es que _nadie verificó lo que le entregaban_ las subcontrataciones de las empresas públicas suelen funcionar así. Entregas una mierda, y nadie lo mira.
#50 lo de un/a jefe/a de sistemas sin la carrera de la informática: si me dan medio euro por cada vez que lo he visto en algún sitio me hago multimillonario, no ponen a profesionales, piensan que cualquiera vale para eso (y si es amiguito mejor)
#43 No exactamente, porque lo que hay dentro no es tuyo son datos de otros usuarios. Es como si tienes un hotel donde "vive" gente y descubres que la puerta trasera se puede abrir fácilmente y lo compruebas para avisar al hotel que por ahí se podría meter ladrones.
#7 Si que la das. Como has visto si no el fallo?
Empresas normales (con un equipo IT formado) motivan a sus empleados con incentivos para que encuentren este tipo de bugs. Ahora, si la seguridad te la suda...
#58 No, 3=10 en base tres
#45 el problema viene en que todas las cerraduras compartían la misma llave.
#66 si, te lo compro. O mejor, dejaron la llave maestra en la app y entonces, se abren todos los buzones.
Un clasico. Cuando el sabio señala la luna, el necio mira el dedo.
#58
En base 3:
1=1
2=2
3=10
4=11
5=12
6=20
Y así, igual que el binario:
1=1
2=10
3=11
4=100
5=101
6=110
etc, etc.
#49 Es que faltan auditorías de seguridad en lo público, creo que ya hay empresas que se dedican a eso así que sólo habría que contratarlas. Y habría que exigir que las aplicaciones públicas, por lo menos las que tengan datos de usuarios pasaran la auditoría antes del lanzamiento.
#70 Faltan auditorías en lo público, así, en general.
Típico de este país, vease en este caso, en el de Lexnet o los taxis vs Uber/Cabify. Mejor destruir y putear al que te hace quedar mal que aceptar que has hecho algo mal e intentar mejorar.
#1 exacto, ese informatico debertia de ser contratado y premiado por descubrir ese agujero de seguridad, en cambio seguimos matando al mensajero.
No hay palabras para describir el nivel de estupidez. Para otra vez se conecta uno a la red a través de varias VPN y Tor, coge todos los datos y los publica señalando a la empresa responsable.
#10 Apuesto a que la empresa adjudicatara es de un amigo/cuñado/familiar/sobres de por medio.
#61 Ahora resulta que necesitas un ingeniero para hacer una web o mantener una red? Entonces son ilegales aquellos FP de grado superior donde te enseñan a ello?.
#75 En CohechoBet está con una cuota de 2,87, aprovecha para hacerte rico
#44 Puessss... Con eso de la RGPD creo que obtener los datos de otro y usarlos para cualqueir cosa es delinquir...
#36 Muy constructivo. Sobre todo, si mandas un mensaje anónimo te van a hacer mogollón de caso.
#78 Y dejarlos expuestos, decir que lo has arreglado y volverlos a exponer también es castigable por la RGPD y no se hasta que punto ha usado los datos de otro cuando lo ha hecho para demostrar la vulnerabilidad, no ha hecho uso de información privada para sacar beneficio.
Es más, cómo coño te voy a decir que tienes una vulnerabilidad sin demostrarla primero?
#2 Voy a enseñarle este comentario a mi jefe a ver si sabe en cual de las dos categorías está
#76 estás poniendo en mi boca palabras que no he dicho, me refiero a la parte alta de la jerarquía, el responsable informático que tiene que tener una visión global del todo, de todas las estructuras subyacentes o no, y tener una estrategia informática coherente. Te lo digo más fácil: a nivel de organización (en este caso informática) me refiero al nivel estratégico no al nivel operacional (o táctico)
#18 gracias a una de las maravillosas reformas del código penal, hacer pruebas sin autorización del propietario es un delito penado con carcel.
#1 Seguro que tendrían algún plan económico millonario para eso pero este individuo se lo ha fastidiado y ahora alguien se ha quedado sin sus millones.
Yo no veo tan descabellado lo que ha pasado. El ingeniero ha encontrado un fallo en la aplicación y se ha ido a un juzgado a denunciar, ahí ya entiendo que su ánimo es de buscar que la ley castigue a la empresa.
Entonces la empresa lo que está haciendo es defenderse, y si puede agarrarse a un clavo ardiendo para conseguir que parte de la multa que les puede caer sea pagada por el propio ingeniero pues lo va a hacer.
Con todo esto de la nueva ley de protección de datos nos estamos pasando el disclose responsable por el forro. Ya lo dije con el proceder de facua hace unos meses, y este caso me parece casi lo mismo.
#10 Conociendo como suele funcionar el tema de las subcontratas en la administración pública me extrañaría que denunciaran a la empresa de los amiguetes antes que al que ha descubierto la chapuza
#76 Para eso no necesitas un ingeniero, pero para ser la persona responsable de una empresa como FGV creo que sí.
#61 Lo peor no es el hecho que no tenga el título, lo malo es que sea una incompetente. De hecho, uno de los mejores superiores que he tenido (IT) es físico.
#65 Eso! Esto me pasa por ir de listo
#5 Parece ser una api key estática, lo que se suele utilizar como seguridad básica cuando no hay autenticación de usuarios en el sistema.
#33 Los jueces en este país no tienen miramientos en aplicar la ley contra un particular como el de este caso, sin perder tiempo ni en leerse la documentación del caso ni en fundamentar los argumentos de la condena, que copiarán y pegarán de cualquier otra sentencia. Les basta con ver el encabezado de la demanda, el estado es el denunciante y el acusado un ciudadano. Caso distinto sería si el denunciado fuese una gran empresa, un pez gordo o el estado, entonces sí se archivaría la denuncia y el juez argumentaría la sentencia con cuidado y con todo detalle.
#17 Al final los hackers étcos van a publicar las vulnerabilidades anónimamente,
sin advertir a la empresa antes, con máxima difusión...., y que les jodan.
Se lo están ganando a pulso...
#43 El tema es cuando es la cámara acorazada de un banco la que se puede abrir con un destornillador. Entonces el bien común de hacer pública esa información debe pesar sobre la (debatible) intrusión necesaria para demostrar el problema.
Hacen falta leyes de protección a los whistleblowers.
#85 El informático ha hecho su deber y ha presentado una denuncia no en un juzgado si no en la AEPD ya que exponía datos privados de todos los usuarios.
Hacer esa denuncia como "defensa" es poco menos que venganza.
No hay disclose responsable con la AEPD, desde el minuto 1 se notifica a la empresa y a la AEPD ya que si no pueden ir de listos, parchear y no notificar a la AEPD habiendo potencialmente un leak de información sensible. Obviamente otro tema seria publicar todo online sin esperar al parcheo, pero a la AEPD hay que notificar.
#85 Que coño es el disclose responsable? Sera el responsible disclosure o revelacion responsable.
Y si te lo notifican, (Que es curioso que quien define que es responsable es al que pillan con los pantalones bajados), agradeces y solucionas.
#62 Tambien estaban los datos propios. El agujero de seguridad que afectaba al propio informatico, como usuario, afectaba al resto de usuarios de la app.
#93 Porque la manía de usar palabros en inglés cuando en español existen desde siempre y ni son puramente conceptos nuevos que no existen en Español
Se nos mean en la puta cura y no somos capaces de parar el país y cuadrarnos de una vez...
#96 Claro, en este caso este informático vivía en el hotel y les dijo, oye, no me siento seguro aquí porque por esa puerta cualquiera puede entrar a las habitaciones.
#95 Ya, la cuestión es que no parece que lo haya notificado. Primero se fue a un juzgado o a la AEPD, y luego a un periódico. Que por lo menos los de facua tuvieron el detalle de notificarlo, muy malamente también sea dicho.
#94 No sabía que eso era un deber de un informático. Y claro que lo hay, cuando notificas una vulnerabilidad de seguridad a una empresa queda un rastro de comunicaciones que lo hacen muy facilmente demostrable. Porque no es coger y mandar un correo con toda la info y esperar a que te contesten. El proceso es bastante más largo.