EDICIóN GENERAL
437 meneos
4892 clics
3.000 cuentas bancarias al descubierto: si un hacker te avisa de un fallo, hazle caso

3.000 cuentas bancarias al descubierto: si un hacker te avisa de un fallo, hazle caso

"Les llamé cuando descubrí el fallo hace cuatro años. Me dijeron que estaban muy ocupados con un Comité Federal y no tenían tiempo para estas cosas. Hoy la web sigue mostrando los datos personales de más de 3.100 afiliados: móviles, cuentas bancarias al completo... Han pasado de todo". Así explica un 'hacker' a Teknautas cómo descubrió un agujero en la web de Juventudes Socialistas de España (JSE): bastan unos cuantos clics para acceder a los datos privados de miles de afiliados de la organización.

etiquetas: cuentas bancarias , hacker
Estamos vendidos, no tenemos privacidad por ningún sitio.
#1 No te equivoques, nadie está vendido. Los problemas ocurren cuando delegas el mantenimiento de una plataforma web a quien no debes.

El problema de Internet es que para muchos una web y lo que hay detrás no requiere de una inversión constante de dinero.
#6 #9 El tema de la gestión de la seguridad es de risa muchas veces, incluso en grandes empresas. Muchas de las medidas se toman simplemente para cumplir ISOs y que les den la medallita/habilitación correspondiente.

Yo mismo he visto como un banco bastante importante, delega sistemas que implican un alto impacto en la seguridad a terceros y les imponen medidas absurdas como la de no escribir en los USB, en la era en la que todo se puede enviar y recibir por internet.
#1 Nunca la tuviste, sólo que ahora lo sabes.
#15 asi es,
Me dijeron que estaban muy ocupados con un Comité Federal y no tenían tiempo para estas cosas. fiel reflejo del país
#2 ayer mismo el PSOE ha dicho que estan muy liados con sus primarias y que lo de derogar la ley mordaza, reforma laboral, etc... tiene que esperar a que acaben.
Ya lo han "solucionado".
Wow, 3000 cuentas bancarias... No sé cómo esto es noticia...
#5 Te pareceran pocas
#11 Son numeros de cuentas bancarias, no tarjetas de credito.

Es decir, claves publicas, no privadas.
#16 también hay dnis, si guardan una copia del dni pueden suplantar la identidad de cualquiera. Lo de los números de cuenta es lo de menos.
#19 además si hubiese un nuevo "18 de julio" les saldría una sencilla lista de "fusilables" a los golpistas.
#20 #19 Tu número de cuenta bancaria lo tiene cualquiera que te haya tenido que hacer un ingreso, por ejemplo, cualquier empresa que te haya contratado (que hoy en día, suele ser un número considerablemente alto con tanta rotación que hay).

Si el número de cuenta bancaria sirve para robar una identidad, estamos vendidísimos todos.
#23 Si, lo tiene la empresa, no un individuo cualquiera. Igual que tu numero de la seguridad social y otros datos. Y tal como dice #20, con esos datos puedes suplantar a personas. El numero de cuenta, por ejemplo, muchas compañias lo usan como pregunta de seguridad, además del DNI.
#26 Pues mala empresa la que use ese número como pregunta de seguridad, porque no estará asegurando nada sobre la identidad del individuo.
#27 Pues casi cualquier empresa seguramente. La electrica, la del gas, telefono... etc. Aunque si soy sincero no se si en los ultimos años esto ha mejorado. En todo caso, incluso alguna empresa que pueda exigir hacer los cambios mediante usuario/contraseña en su web, puede tener mecanismos de recuperacion de usuario que consisten en preguntarte algunos de tus datos personales, como DNI, direccion, cuenta bancaria...
#28 Bueno, según tengo entendido, las compañías del agua, gas, electricidad,... etc... miran también que estés llamando desde el número de teléfono correcto. Pero vaya, que sí, que cuando vivía con mis padres alguna vez me hice pasar por mi padre (y no, no tengo una voz precisamente varonil) para hacer según qué cosas... Que era perfectamente válido porque era una tarea que tenía yo delegada, pero la compañía debería haberme obligado a verificar que, efectivamente, el titular del contrato quiere hacer ese cambio.
#26 Si, lo tiene la empresa, no un individuo cualquiera.

Revisando esto, hablamos de delincuentes que quieren hacer un robo de identidad. No me extrañaría nada que hubiera empresas dedicadas a contratar a gente por horas para luego robarles, si con los datos que tiene una empresa de su trabajador pudieran impersonarle. ¿No las hay ya que te entrevistan para un trabajo, te fotocopian el dni y aprovechan para hacerte burradas con esa fotocopia?
#31 Si, por supuesto que las hay. Y ni siquiera hace falta que las contraten, solo tienen que ofrecer ofertas falsas para que la victima les envie los datos que piden www.facua.org/es/camp.php?seccion=37

El problema existe, lo que queria decir es que esos datos personales los recoge la empresa porque supuestamente los necesita(o la persona que te va a hacer una transferencia), y tu se lo has cedido a ellos voluntariamente. No te queda mas remedio que confiar en la empresa, y aun siendo…   » ver todo el comentario
#23 Lo se, un nº de cuenta no permite hacer cosas ilegítimas (bueno, cargarte recibos, pero que puedes devolver). Pero pueden obtener una buena base de datos de víctimas a las que suplantar su identidad, recuerdo un reportero de un programa de estos de investigación, falsificaron un DNI y pasaporte (datos reales, pero con su foto) y viajó, voló entre países, pudo pedir todos los créditos que le diera la gana... Que tenga tus datos una empresa o tu operadora vale, pero no querrás que estos pasen a manos de un criminal.
#19 son números de dni, no copias.
#24 no dejan de ser datos de caracter personal que podrían aprovechar para suplantarte. Y las víctimas de suplantación de identidad lo tienen muy jodido...
#16 Un número de cuenta bancaria es información confidencial de cada ciudadano, aunque no sea información precisamente top secret. Cuando relacionas un número de cuenta con una dirección, DNI, teléfono, correo electrónico, etc. empiezas a tener los ingredientes para montar fácilmente un robo de identidad.
Teniendo en cuenta que es una organización que no suele actualizar mucho sus listados (por lo que conozco) y muchos militantes del PSOE que dejan de ser de JSE siguen inscritos en JSE... ¿Estará la cuenta de Gusanita Díaz?
#7 Estará la cuenta de tiesos que tendría cuando era estudiante. La cuenta suiza que tendrá ahora no saldrá.
" Askalon, la web con sede en Toledo encargada de crear y mantener la página de JSE, no ha respondido a las llamadas de este diario para conocer su versión" Las JSE tienen culpa, pero los técnicos que deberían saber del tema es la empresa que mantiene esa web.
El problema es que pasa en mogollón de sitios que tienen una seguridad pesima.

Poder engañar a pasarelas de pago porque el importe se pasa como un parametro en la url, acceso a datos de clientes, datos de entrega de pedidos.

Luego son empresas que no te dejan llevarte un PowerPoint en un USB por política de seguridad pero la web es un coladero.
Pero, ¿a qué cojones dedican el dinero público que reciben los del -indique aquí su partido/patronal/sindicato preferido-? ?(
#10 Es una pregunta retórica, supongo.
#10 ¿En serio lo preguntas?
Pues a los pocos días de no solucionarlo, yo lo hubiera denunciado a la agencia de protección de datos. Con la multa que les hubiera caído, seguro que a la segunda vez contratan a algún experto en seguridad para hacerlo.
"No me consta ningún aviso, esos temas los lleva mi marido", contesto el responsable de IT de las Juventudes Socialistas.
Al "Hacker" lo crujiran y el web seguira igual por que la seguridad les importa un pimiento.
Yo recuerdo con cariño cómo probamos el exploit de phpbb que hacía sqlinjection sobre la web del grupo RISA ... salimos en las noticias y todo... Lo más gracioso de todo fue recibir al jefe de sistemas diciéndonos que cómo se nos había ocurrido hacerlo. Que ahora le estaban demandando a él porque habían "Trazado" la IP del ataque y obviamente salía la Universidad y él era el responsable de la línea de la universidad (bendito proxy). La charla terminó como debió terminar, con un buen rapapolvos: La próxima vez lo hacéis bien y saltáis tres o cuatro proxys anónimos primero merluzos!!

menéame