Hendrik H. comprobaba la seguridad informática de un cliente de la empresa de servicios de Internet Modern Solutions, cuando descubrió que desde el proveedor de IT hacían una conexión MySQL a un servidor de bases de datos MariaDB mediante un programa, MSConnect.exe, que tenía la contraseña incluida en texto plano entre el código del ejecutable, de manera que se podía ver abriéndolo con un simple editor de textos. Esa clave daba acceso no sólo a la base de datos usada por su cliente, sino a TODAS las bases de datos contenidas en ese servidor.
![Hacker ético multado por revelar la inseguridad del acceso a datos de una empresa [Ing]](https://cdn.mnmstatic.net/cache/3b/85/media_thumb_2x-link-3900680.jpeg?1706095026)
Comentarios
buen mensaje al resto de coders, si encuentran algun agujero que lo vendan o exploten, asi no pagan multas
Conocí a un chaval (entre 18.-20 años o así) que descubrió unas vulnerabilidades en una empresa. Lo documentó y lo remitió a la empresa en cuestión.Le premiaron fue una denuncia y una redada en su casa donde se llevaron todos los PC's y móviles que tenía.
El ejemplo perfecto de pegarse un tiro en el pie. Aviso para futuros hackers que descubran una vulnerabilidad en esa empresa.
#7 Yo si leo y: (2 C&P)
1) Using this database password, the hacker gained external access to our database and our ticketing system
2) Hendrik H. was charged with unlawful data access under Section 202a of Germany's Criminal Code, based on the rule that examining data protected by a password can be classified as a crime under the Euro nation's cybersecurity law.
Y que nadie me vaya a decir que después dice:
"A password that has been saved almost in plain text does not constitute a 'special security' which is required by §202."
Porque que un password no esté almacenado correctamente no quiere decir que con el se pueda acceder a datos protegidos por ese password (que son otros (los datos)).
Para ser jeiker de estos éticos, además de seguridad informática hay que saber las leyes que se aplican a estas cosas.
#9 El "hacker" es un consultor de seguridad que encontró ese agujero en el ejercicio de sus funciones, revisando la seguridad de un cliente suyo, una empresa que tenía contratados los servicios del proveedor de IT afectado. Es decir, ese cliente, y por tanto el consultor, ya tenían acceso a ese servidor en virtud de los servicios contratados.
El consultor/hacker descubrió que el acceso de su cliente y sus datos no sólo estaban MAL PROTEGIDOS, con la contraseña en un programa del proveedor IT en texto plano, sino que no sólo daba acceso a los datos de su cliente, permitía el acceso a TODAS LAS BASES DE DATOS de ese servidor.
Llámame loco, pero ahí el culpable no es el consultor, que se ha limitado a hacer su trabajo: descubrir vulnerabilidades e informar a las partes afectadas para solucionarlas/parchearlas.
Y la reacción de la empresa proveedora de IT me parece un intento malo de tapar sus vergüenzas, disparando al mensajero. En realidad, lo que se hubiera merecido es un denuncia del copón por no proteger adecuadamente los datos de sus clientes.
Como decía en otro comentario, "ninguna buena obra sin su castigo"…
#8 #10 Goto #12
#11 Pone que el consultor había trabajado para la empresa afectada, y ésta alega que consiguió la información cuando estaba con ellos, pero eso es MUY FÁCIL de desmontar: el consultor sólo tiene que demostrar cómo llegó a ese programa con el password en texto plano desde los ordenadores de su cliente, al que le estaba haciendo la auditoría de seguridad, utilizando sus credenciales de acceso. Pero, claro, eso necesita que un perito (el juez no tiene por qué saber de todo), un experto en ciberseguridad, acuda al juicio y lo corrobore, algo que, según dice la noticia, no ocurrió.
De todos modos, éste era un juicio de apelación, y es, a su vez, apelable a instancias superiores. Diría que el consultor lo tiene ganado, y la empresa del password en texto plano se merece una denuncia del copón que la deje marcando el paso.
Primero se pide permiso para hacerles una auditoría gratis y si te lo dan les haces la auditoría. Si te dedicas a entrar en propiedades ajenas sin permiso normal que si te pillan te calcen una hostia, física o legal
#6 No te has leído la noticia, ¿verdad? Bueno, ni la entradilla: la empresa con el agujero es un proveedor de servicios de Internet, y el analista estaba comprobando la seguridad de otra empresa que tenía contratados los servicios (me imagino que de hosting) en la primera, en el proveedor de IT. Descubrió ese agujero en el ejercicio de sus funciones, pero la culpa no era de su cliente, sino de la empresa IT contratada por su cliente.
#7 En la noticia pone también algo de un conflicto de intereses y de que alegaban que era un competidor (con intereses para dejarles mal, supongo). En cualquier caso mi comentario era generalista sobre el "hacking ético", no de este caso concreto
Si no hubiera sido ético y visto lo visto, que lo hubiera revelado cómo hizo el otro día el de Orange.
#1 Ya, pero, al menos en este caso, "ninguna buena acción queda sin su castigo"…
Estoy hasta los mismísimos de estos "hackers éticos". Son lo peor. Se creen con derecho a hacer auditorias de tu código aunque no se lo hayas autorizado. A veces ni te lo dicen. Luego hacen informes de mierda donde te ponen el proyecto a parir dicendo que es inseguro y blablabla. Aunque no sea cierto, que muchímas veces no lo es, sino que son ellos que no tienen ni idea de lo que hablan. Luego con ese informe van a google que les paga un tanto y publican un CVE. Y ya te has ganado una mala fama que no es cierta. Eso si, ellos con sus bolsillos llenos por la difamación a TU proyecto. Y tú sin ver un duro. El problema, es que demandarlos cuesta pasta y tienen google detrás.
Pregunto desde el desconocimiento. ¿Ha llegado a entrar en el sistema sin autorización aunque no haya hecho nada más que eso?