Portada
mis comunidades
otras secciones
#4:
Me imagino al Chema Alonso tirando de su gorrito para abajo hasta las rodillas.
#7:
Según he entendido en la noticia, al intentar acceder a una factura se comprobaba solamente ser usuario, no ser el usuario de dicha factura
#14:
#2 Pues habrá como mucho amonestación porque la verdadera chapuza es esta nueva ley europea que no deja nada claro más allá de que las sanciones pueden ser hasta un 5% de la facturación anual de la empresa.
Pero cuando te metes en el fondo de la ley establece algo así como: “ la empresa Febe establecer las medidas que crea oportunas Según la naturaleza y sensibilidad de los datos”
Pero no se establece:
- ni unos mínimos de seguridad
- ni has de garantizar la seguridad de los datos (ya que también sería imposible una garantía total)
Lo único que la ley establece es que tienes que gastarte una pasta en rehacer una documentación y unos planes de actuación y manejo de información, que ha de haber un consentimiento informado y aceptación por parte de todos aquellos con los que tengas relaciones, que has de informar de los incidentes, hacer copias de seguridad y garantizar la entrega de los datos personales que tienes si te los piden.
Consultando con gente, en conferencias, que ha mantenido conversaciones con quien ha participado en la redacción de las leyes te decían que no tenían nada claro como iban a aplicar las normas y sanciones, que irían viendo sobre la marcha.. y que se iría definiendo según se fuera “ejecutando” (lo que a mi parecer crea una inseguridad jurídica brutal)
En los paises como el nuestro con gran cantidad de pymes es muy difícil la aplicación y regulación.
Pero cuando te metes en el fondo de la ley establece algo así como: “ la empresa Febe establecer las medidas que crea oportunas Según la naturaleza y sensibilidad de los datos”
Pero no se establece:
- ni unos mínimos de seguridad
- ni has de garantizar la seguridad de los datos (ya que también sería imposible una garantía total)
Lo único que la ley establece es que tienes que gastarte una pasta en rehacer una documentación y unos planes de actuación y manejo de información, que ha de haber un consentimiento informado y aceptación por parte de todos aquellos con los que tengas relaciones, que has de informar de los incidentes, hacer copias de seguridad y garantizar la entrega de los datos personales que tienes si te los piden.
Consultando con gente, en conferencias, que ha mantenido conversaciones con quien ha participado en la redacción de las leyes te decían que no tenían nada claro como iban a aplicar las normas y sanciones, que irían viendo sobre la marcha.. y que se iría definiendo según se fuera “ejecutando” (lo que a mi parecer crea una inseguridad jurídica brutal)
En los paises como el nuestro con gran cantidad de pymes es muy difícil la aplicación y regulación.
ay mare meva del meu cor
Comentarios
Me imagino al Chema Alonso tirando de su gorrito para abajo hasta las rodillas.
#4 #6 Qué va! Dirá que en el momento de la filtración, él no estaba encargado de esa parte de la seguridad.
#8
, esto lo lleva mi marido...
#9 mal, es "yo no sabia que mi marido tenia un bujero de seguridad en el garaje" o "no supervisaba la seguridad por amor"
#4 #6 Chema es chief data officer, la seguridad depende de otros.
A mi no me gusta nada este tío, pero hay que ser justos con lo que decimos.
#10 Cuando escriben en "el lado del mal" bien podrían intentar hackear su propia empresa en vez de dejar mal otras...
#11 Es que técnicamente esto no es un hackeo, es una cagada
#19 WTF!
#20 tal cual, no es que hayan hackeado nada, es que cambiando la url podías ver la factura de otros una vez accedias con tu usuario y contraseña... que es lo triste, que ni mirar si el usuario es el dueño de la factura en el código.
#21 Sigue siendo un hackeo, igual que inyección SQL. Otra cosa es que sea tan burdo que deberían de despedir a todos los jefes de desarrollo y calidad de ese proyecto...
#25 Bueno, entonces podemos llamar hacker a cualquier usuario que tenga acceso a la plataforma
#10 Chema Alonso es actualmente CDO –Chief Data Officer- de Telefónica. En este cargo lidera la estrategia de Big Data, Publicidad y Cuarta Plataforma de Telefónica. Es asimismo responsable de los productos y servicios de ciberseguridad global de la unidad ElevenPaths y de de BigData de la unidad LUCA que Telefónica proporciona a sus clientes. Así mismo, lidera la construcción y el lanzamiento de AURA, la Cognitive Intelligence de Telefónica, para ofrecer una nueva forma de relación a los clientes con Telefónica.
Es Doctor en Seguridad Informática por la Universidad Rey Juan Carlos e Ingeniero Técnico de Sistemas Informáticos por la Universidad Politécnica de Madrid.
https://www.telefonica.com/es/web/about_telefonica/cv_directivos/cv_chema_alonso
Lo mismo Big Data y Ciberseguridad no está relacionado con la fuga de datos...
#37 la seguridad de datos la lleva este señor:
Alejandro ramos
http://www.elladodelmal.com/2016/08/alejandro-ramos-se-incorpora-telefonica.html?m=1
Que depende de “seguridad corporativa”, que cuelga de este otro señor:
Miguel Ángel Sánchez San Venancio
https://www.elconfidencial.com/empresas/2016-06-02/telefonica-ficha-a-san-venancio-militar-alto-mando-cni-como-nuevo-jefe-de-seguridad_1209991/
Y ninguno de ellos cuelga del del gorrito.
Que Chema tenga los conocimientos y experiencia para ser jefe de seguridad informática de telefónica, puede ser. Que sea su cometido, no
#10 no he podido evitarlo
Chema Alonso entona el 'mea culpa' con la brecha de seguridad de Telefónica
Chema Alonso entona el 'mea culpa' con la brecha d...
lainformacion.com#43 yo leyendo el artículo no veo un mea culpa, simplemente dice que es un fallo sencillo de evitar, pero no dice que el fuese el rewsponable de hacerlo. El titular es amarrillista como poco
#44 si lees el post iba a volver de urgencia de las Vegas a donde no había llegado todavía.. y teniendo en cuenta la falta de humildad al echar la culpa a facua, pues que quieres que te diga. Al final no ha pasado nada, nadie asume responsabilidades y los malos son otros
#4: Hola. ¿Es aquí el pwnódromo contra Chema Alonso?
Según he entendido en la noticia, al intentar acceder a una factura se comprobaba solamente ser usuario, no ser el usuario de dicha factura
#7 Ostras Pedrín! pero, pero...
#7 Ni los peores becarios son capaces de dejar un agujero así de grande. ¿Seguro que no les han modificado la aplicación para permitirlo?
Otro gran éxito de Chema.
La nueva ley europea obliga a comunicarlo a los usuarios. Cosa que me parece genial para que no se vuelvan a ocultar este tipo de filtraciones.
#1 Di la verdad
karmo ¿A que tapaste tú el agujero?
#3 me váis a poner cachondo ya un lunes por la mañana?
ay mare meva del meu cor
¿Y la multa por chapuceros? ¿Pa cuando?
#2 Pues habrá como mucho amonestación porque la verdadera chapuza es esta nueva ley europea que no deja nada claro más allá de que las sanciones pueden ser hasta un 5% de la facturación anual de la empresa.
Pero cuando te metes en el fondo de la ley establece algo así como: “ la empresa Febe establecer las medidas que crea oportunas Según la naturaleza y sensibilidad de los datos”
Pero no se establece:
- ni unos mínimos de seguridad
- ni has de garantizar la seguridad de los datos (ya que también sería imposible una garantía total)
Lo único que la ley establece es que tienes que gastarte una pasta en rehacer una documentación y unos planes de actuación y manejo de información, que ha de haber un consentimiento informado y aceptación por parte de todos aquellos con los que tengas relaciones, que has de informar de los incidentes, hacer copias de seguridad y garantizar la entrega de los datos personales que tienes si te los piden.
Consultando con gente, en conferencias, que ha mantenido conversaciones con quien ha participado en la redacción de las leyes te decían que no tenían nada claro como iban a aplicar las normas y sanciones, que irían viendo sobre la marcha.. y que se iría definiendo según se fuera “ejecutando” (lo que a mi parecer crea una inseguridad jurídica brutal)
En los paises como el nuestro con gran cantidad de pymes es muy difícil la aplicación y regulación.
#14 Con el tema de las sanciones, un colega mio que trabaja en un banco me conto que han sacado es un seguro de responsabilidad civil para la ley de proteccion de datos, y que se esta vendiendo bien porque hay mucha empresa acojonada.
#14 Son leyes de las que poder tirar para extorsionarte si le interesa a la administración. Nada claras para poder cambiar de criterio a conveniencia y sancionarte sí o sí cuando convenga o apetezca.
#2 Serán 100 o 200 euros
#13 Es marketing y ya
#31 El margen no lo da ni la propia ley, porque esto no es que te puedan robar los datos de tu pc, si no que pueden robar los datos de SUS servidores. Lo suyo es si no han parcheado la vulnerabilidad, que no digas cómo explotarla, pero sí que informes de que existe una posible vulnerabilidad. En este caso ya se ha "subsanado" (lo pongo entre comillas porque directamente se han cargado la funcionalidad) y sí que puedes dar detalles. Pero el malo es FACUA... No me jodas, esto me pasa en mi trabajo y el malo soy yo.
Con el Meltdown, Spectre y su puta madre sacaron hasta los exploits para aprovecharse de los pcs no parcheados, así que ya me dirás.
#32 te diré, que no estás correctamente informado: https://www.theverge.com/2018/1/11/16878670/meltdown-spectre-disclosure-embargo-google-microsoft-linux
#35 No, me estás dándo la razón con el spectre, cuando lo publicaron el parche era ineficiente y encima petaban. No estaba subsanado ni de coña y empezaron a aparecer los exploits por internet antes del Patch Tuesday de microsoft, porque se volvió incontrolable, es más, sacaron más de un parche.
Pero en este caso es información que una empresa privada tiene de sus usuarios, que tiene que proteger, no es una pieza de hardware con una vulnerabilidad que cualquiera con acceso a tu equipo puede explotar, es que cualquiera puede entrar en su area de clientes de telefónica y sacar tu factura, por eso marcan 72 Horas para notificar a los afectados desde que la empresa afectada se entera o tener una muy buena excusa para no haberlo hecho en ese periodo de tiempo.
Lo del Spectre y Meltdown no se puede comparar en este caso, si bien supuso una brecha de seguridad en casi todos los equipos informáticos, no era una empresa la que estaba poniendo en riesgo la información que unos clientes le dieron a ella. No se si me explico...
Además que del primer artículo de FACUA en el que no había info, al de ahora, después de que telefónica retirara la funcionalidad, va un trecho de información. A parte, qué cojones, que su trabajo es proteger al consumidor, coño.
El del gorro era bueno para salir en la tele haciéndose el listo, pero luego es más marketing que otra cosa.
#13 Esto no es trabajo del del gorro, si no de los desarrolladores, de los tester y de los auditores.
#18 Al final el responsable es el que está arriba.
#33 sí, pero no llamemos al del Gorro así de gratis cuando igual ni siquiera es su obligación...
lamentable...y lo de LexNet es gravísimo y como si se escuchase llover, país en manos de mafiosos
#22 La AGPD sanciona al Ministerio de Justicia por falta muy grave en relación con Lexnet
La AGPD sanciona al Ministerio de Justicia por fal...
agpd.es#27 hahaha leete el primer comentario de la noticia
Personalmente la actitud de FACUA me parece deleznable, y con ella han puesto los datos de un montón de usuarios en riesgo: https://www.elconfidencial.com/tecnologia/2018-07-16/ciberseguridad-vulnerabilidad-telefonica-facua-ruben-sanchez_1593129/pass_873e6ca28b83b5b9eba65caa65355dfc/
no?Es más, yo me pregunto.. ¿porqué FACUA puede hacer esto sin consecuencias y
#24 Primero notificaron, luego telefónica quitó esa funcionalidad y al final lo publicaron.
La diferencia es que con lo de LexNet no quisieron hacer nada y al final lo acabaron publicando, poniendo en peligro los datos, además que es un software publico y claro, papá estado se sentía molesto.
En el caso de Facua se libran porque esa funcionalidad y vulnerabilidad ya no está ahí.
#28 ¿Notificaron un domingo por la tarde, y anuncian una rueda de prensa para el lunes por la mañana, ni 12 horas después? Me parece que se está anteponiendo el posible rédito, a la seguridad de los usuarios. No me parece responsable. No es lo que alguien serio haría.
Alguien serio haría como se hizo con Meltdown, Specter, las colisiones de MD5, etc. Si de verdad te importan los usuarios, das un margen suficiente de tiempo para asegurarte de que esa y otras vulnerabilidades semejantes y/o relacionadas sean debidamente corregidas y se implanten los mecanismos necesarios para dificultar que vuelva a ocurrir. Porque lo más importante.. son los usuarios, ¿no? Al fin y al cabo.. eso es lo más importante para FACUA, ¿Verdad?
#24 Facua informó por la tarde a Telefónica y esa misma tarde lo tenian corregido.
El problema no es del mensajero.
#38 Y siendo el fallo tan estupido, y si no solo Facua se dio cuenta y llevan tiempo levantando datos de los clientes de Telefonica?
de coña
#24
A ver si leemos un poco los enlaces que enviamos.
Del enlace que tú mismo has enviado:
"La asociación de consumidores Facua ha anunciado en la mañana de este lunes que ha detectado unas vulnerabilidades en la web de Movistar"
"La asociación, además, ha explicado que en la noche del domingo al lunes 'la compañía ha eliminado funcionalidades de su web para evitar que los datos de sus clientes continuasen expuestos'."
#38 Según ese artículo no lo corrigieron por la tarde, sino en la noche del domingo al lunes.
Pero vamos, que cuando Facua informó ya no se podían ver datos, ya se había cerrado el acceso a eso. Y, por tanto, me parece muy bien que se informe a los clientes y todo el mundo de que sus datos fueron comprometidos.