EDICIóN GENERAL
521 meneos
6323 clics
Agujero en Telefónica: al descubierto miles de líneas de teléfono de grandes empresas

Agujero en Telefónica: al descubierto miles de líneas de teléfono de grandes empresas

"Cuando vi que me había colado en el sistema de telefonía del Atlético de Madrid no me lo creía. Llamé a Enrique Cerezo y sonó. Colgué por miedo". Así describe el responsable de sistemas de una empresa química española el agujero de seguridad que descubrió en Centrex IP, un servicio de centralita en la nube que ofrece Telefónica a compañías en España para gestionar sus líneas de teléfono en diferentes sedes.

| etiquetas: telefónica , líneas , teléfono , empresas
Etttteeeee cerrar ese bujero esteeee clou computin y todo eso!!
Grande Alierta, a ver si vuelve que no me rio hace días con unas conferencias de esas suyas xD
#1 Volverá en otro formato :professor: :troll:

A este paso esta señora sustituirá a Álvarez-Pallete: twitter.com/AntonioMaestre/status/934024077643341824, twitter.com/anadebande :-|
#6 En forma de chapa.
#6 Es curioso que en el Twitter de Ana Vázquez Blanco no se vea que pertenece al PP, ni en su portada ni en su descripción. Eso sí, se define como "de centro". ¿Engañará a alguien con eso? ¿Tendrá más efectividad que meter miedo con "sofpapers"?
#1 Eeeeeeeeeeeeeeeeetttttttoooo... los xhicos... de los garajeeeeessssssss....

Nadie ha hablado más despectivamente de todos los grandes emprendedores del mundo de la informática e Internet.

Soy experto en análisis de frases dichas por altos cargos tarados con cara de subnormal 8-D
#1 eteeeeeee las redes son nuestras eteeee buenoooo y de etteee atete
Lo peor de todo es el estilo de gestión de este tipo de incidentes made in Españistán, por que la cagada ya está hecha y no hay vuelta atrás pero la gestión posterior apesta.
#2 Ahora han de abrir un bug a la empresa externa que lleva la seguridad, esta empresa no factura los bugs y buscará lo definido en el pliego de condiciones para decir que no es un bug, sino que es lo que se les pidió, y que por tanto necesitan un nuevo requerimiento, que ha de pasar por el comercial, aprobarse, pasar por los arquitectos de sistemas y los jefazos, estimarse, facturarse y hacerse.

Así se multiplica por 10 el tiempo de resolución.
#11 Te faltó la fase de subcontratación :troll:
#12 y que para arreglar eso dejarán otra puerta abierta...
#13 dios cuando cierra una puerta abre una ventana :troll:
#18

...para que te tires de cabeza...
#11 no mientas.....tu has trabajado en consultoria....
#22 No, no miento.

Sí que trabajé en consultoras, por eso conozco el proceso :-D .
#24 el expertise se huele a distancia. Te felicito si saliste de ahí
#11 No funciona así en Telefónica. El director que está a cargo de ese área, o el gerente que depende de él lo leerá en las noticias, pedirá un desarrollo a su gente de Telefónica, que lo harán o delegará en el jefe responsable, que lo delegará en alguien de la casa que tiene muchas posibilidades de emnarronar a un externo que tienen allí en cesión ilegal.

Cuando tengan el desarrollo hecho y probado deberán abrir un boletín de cambios, que tendrá que estar relleno con toda la documentación relacionda y avanzado de estado antes de un miércoles a las ocho de la mañana y tendrá que ser aprobado en el comité de los jueves.
#38 Y si no está el miércoles, hay que esperar una semana?

Trabajé para cierta entidad que tenía un proceso muy similar, pero tenía definido un proceso de urgencia para estas situaciones. Es lo mismo pero el proceso no espera fechas, cada una de las partes implicadas actúa en cuanto tiene los datos suficientes para hacerlo. Eso sí, el pobre externo que tiene que solicitar este procedimiento pasa bastante miedo.
#42 Si. El miércoles a las nueve de la mañana. Si. Existe un método de urgencia para cosas que no pueden esperar. Hay que solicitárselo a un director. Las dos veces que lo he usado he utilizado a mi responsable de de la casa para que lo haga, que para algo soy esbirra subcontratada.

Algo bueno tiene que tener ser externa a cambio de hacer todo lo que sus esbirros no subcontratados no desea hacer pero debe hacerse: no hablo con nadie con cargo superior a gerente que no sea el mío ni aunque vaya la vida de la organiazción en ello ni apruebo nada que tenga que ver con dinero directamente, por mucho que los de arriba confíen en mi y en mi equipo de externos. Si hay algún problema con eso se lo comen los de la casa.
No pasa nada, todo está controlado, que chema es un crack y se encarga de la seguridad en telefónica, seguramente debido al autobombo no ha tenido tiempo de auditar esta aplicación.
#3 Chema es un crack, si. En un año en telefónica consiguió que le tiraran los tejos desde el BBVA y telefónica le ofreciera un contrato de 1 millón de euros al año y, de regalo, el audi r8.

Como hacker es una broma, pero negociando es un máquina el cabrón.
#14 si la envidia y el infravalorar el trabajo ajeno fuesen deportes olímpicos, nos llevaríamos siempre 2 oros de calle
#20 Lo que tu quieras, pero como hacker sigue siendo una broma. No es algo que diga sólo yo. Es opinión común entre la comunidad.
Ah, y no le tengo envidia alguna a ese señor. No le cambiaría ni mi curro ni mi vida.
#3 #14 #20 Después de ver esto, tengo la sensación de que lo contrataron más para espiar a los clientes que para tapar agujeros de seguridad.
#28 Hombre, tampoco es eso, pero creo que su contratación tuvo más que ver con el efecto publicitario que con su capacidad.
#29 Puede ser, una especie de: ... "véis" Telefónica-Movistar sigue eso de "Don't be Evil", fichamos a los Hackers "Buenos"... entra dentro de su Lógica.

Luego el propio título de su blog juega con el concepto de Bondad vs Maldad ("Un Hacker en el lado del Mal"), como humor supongo.

Esto ha salido en ElConfidentcial, supongo que cualquier empresa seria, estaría muy cabreada con esto (aunque supongo que muchos hace tiempo que tendrán móviles con roaming…   » ver todo el comentario
#29 Reflexionando sobre esto, ese tío es un bastante buen divulgador, y yo eso también lo considero un mérito importante. Creo que no hay en Youtube ningún vídeo sobre el mismo tema tan interesante como alguno en el que él aparece.
#70 Y lo es. Como director de formación sería un gran fichaje.

Cuestiono otros aspectos, no su capacidad de oratoria ni la de vender una idea o punto de vista.
#71 A mi me encantan algunos de sus vídeos, aunque teniendo en cuenta que fue empleado de Microsoft, desde el primer momento se le veía un poco el plumero en algunos detalles ;) .
#72 les falta... chicha. Y no es culpa suya. Es el rollo ese de “te lo voy a contar por encima pero me salto tal procedimiento para que no se use contra nadie”

Y es una gilipollez, pues tampoco resulta difícil encontrar la información que se reserva.
#14 Como hacker no se, pero como jefazo también es un crack. Eso de que cuando hubo un problema con el virus ese enviar enseguida un tweet diciendo que no es su culpa, crea un fuerte sentimiento de equipo y de confianza entre sus subordinados.
#30 Cierto. Un genio el cabrón.

ps. Chemita, que se que estás leyendo, so cabrón: Me debes dos cervezas y el libro de la era del diamante que te presté hace ya ni me acuerdo.
#30 Es que pasa cualquier cosa de seguridad en Telefonica y es ver 1000 twittes insultandole en redes, cuando el ni siquiera es el jefe de seguridad de todo timonofinica, sino de la parte de datos y ciber-ataques, que les metan un virus en las redes locales de oficinas por mal gestion, esa culpa recae en otros responsables (no afecto en ningun momento a los Data center, solo a los terminales de oficina) y el no hizo twitt en plan "que chapuza esa no es mia!" sino fue "No es mi…   » ver todo el comentario
#37 Y a mi me hace gracia los fans que defienden lo indefendible, cuando el mismo reconoció que fue una cagada ese tweet en ese momento: www.elmundo.es/economia/empresas/2017/05/20/591f3e9c46163f542c8b461b.h
#56 Oye, que yo no soy fan y no he dicho que ese tweet estuviera bien!, pero no es para estar insultandolo meses despues!
#58 Era un comentario un poco troll, a mi no es que me caiga especialmente mal (ni bien tampoco).
#37 Es "normal", la Jauría está deseando triturar y pasar por encima, sólo necesitan una pequeña justificación "cogida con pinzas", para salir a morder en turba (lo vemos a diario), espejo de su propia Frustración.

El sujeto Chema Alonso, pues tiene su blog y sus cosas, ha editado libros (ha hecho mucho más que otros que van mucho de "clandestinidad" pero de aportar al colectivo realmente poco, por lo demás otro sujeto que escribe en Internet (con sus aciertos y…   » ver todo el comentario
#30 Era cosa del CISO, que es su amigo del alma.
securityinside.info/de-canas-con-el-cdo-y-el-ciso-de-telefonica-chema-

O era.
#14 Lo que no se suele pensar es que la gente realmente capacitada a nivel técnico está trabajando y no dando coferencias o asistiendo a programas de TV.
#39 en mi opinión, esa afirmación, sigue la misma linea de "no se suele pensar".
#39 Es posible, pero también, es triste que la gente capacitada no esté dando Conferencias *(1) para transmitir Conocimiento "y esté sólo trabajando" para cuatro gatos... en algo tan sujeto a "Conflicto de Intereses" como la Seguridad en Telecomunicaciones, Computación etc... (Estado, Empresas, Privacidad, Libertad)

Para mi un Hacker, o un analista, tiene una doble función (una es como la de un Periodista, investigar y señalar, otra trabajar en proyectos, pero en ambas…   » ver todo el comentario
#3 Chema le come los huevos a Gylfoil el de Silicon Valley
#46 Que le coma los huevos al Gylfoil no lo sé, pero que le toma el pelo a los jefazos de Timofónica, seguro.
#3 con esa pinta de hacker con grasa en el pelo, ducha cada 10 días y ropa de humana... es normal que solo se lo crean en el hormiguero y en empresas de enchufes como timofonica.
A ver, la cosa no es tan grave como la pintan (bueno, algo de gravedad sí que tiene)

Es una cagada meter esa contraseña tan simplona, es un fallo causado por dejadez pero muy fácilmente solucionable, no es un problema intrínseco en el sistema.

Ese problema (y el de las password por defecto) no es exclusivo de Telefónica. Por ejemplo:

www.dailymail.co.uk/news/article-2515598/Launch-code-US-nuclear-weapon
#4 lo de las contraseñas del código nuclear era por un motivo tan simple como que fuese posible lanzarlas siempre por cualquier persona.
#7

Una intención muy loable y para nada peligrosa.
#43 no me refiero a eso. Me refiero que en unos casos se mantienen contraseñas por defecto por ineptitud, pero la que enlazas no era ese el motivo. Hay ejemplos mejores.
#7 Justo lo que el mundo necesitaba: un arsenal nuclear al alcance del primero que pase por allí. :palm:
#4 admin / admin
Root / admin
Y admin / 1234 como pass.

Te cuelas en un porcentaje significativo de sistemas españoles. Que si bien no son criticos, pueden tener datos de clientes.
#17

Me suena, me suena.
#32 ¿Un silbido de 2600 Hz? :troll:
#4 El problema es que si se ha filtrado información ya no se puede "desrevelar". Si algún hacker se ha aprovechado del bug antes de que lo corrigieran es muy probable que la BBDD esté en las darknets por un puñado de Bitcoin.
Cito:

{0x1f4ac} Avisé a Telefónica del problema el 9 de noviembre, pero no recibí respuesta.

José María Alonso Cebrián approves :professor: :troll:

Telefonica Digital España, Telefonica Digital Identity & Privacy, Telefonica Ingenieria De Seguridad seal of approval :professor: :troll:
#5 Les avisaria a ese fax que tienen para las reclamaciones.
#5 Qué quieres decir con el barbudo al lado del troll (pregunta en serio)?
¿Estos son los lo que dicen que nos dejarán controlar nuestros datos a través de la plataforma Aura? ¿no?. Muy tranquilo, con este tipo de noticias...

Salu2
#10 Eso va a ser un fiasco del tamaño de la catedral de burgos.
#10 Me siento segurooo... (bee, beee, beee...)

puff eso de la plataforma Aura, tiene un tufillo a Luz, Iluminados, Opus y caspa, que tira para atrás...

"... nos dejarán controlar nuestros datos", vaya nos dejarán "ejercer nuestro Derecho a controlar nuestros datos, que buenos que son estos de Telefónica-Movistar...

Gobernados por borrachos y chusma rancia... (lo que nos queda...)
Al menos no estamos solos, y somos más de cuatro gatos (anque minoría), los que nos damos cuenta de ello.

www.meneame.net/c/23225161

Salu2, y estoy de acuerdo con lo que planteas.
En la puta nube de mis cojones. Ahí voy a poner yo los sistemas de mi empresa.
#16 No los pongas.

Al final el de sistemas de tu empresa hará lo mismo, o usará un programa externo que tiene el mismo agujero de seguridad.
Pues si esto sirve para que se fulmine de una vez los 902 me alegro
#19 como mezclar las churras con las merinas, claro ejemplo
Quien dice empresas dice partidos políticos, ministros, jueces, periodistas, abogados y fiscales????
Agujero recién descubierto????
SEGURO????
:roll:
#25 No, lo descubrió él, otra cosa es que otra gente no lo hubiera descubierto antes.
Mierda, han encontrado las páginas amarillas!!!!
No puedo entender cómo una empresa puede pensar que pagar 40€ al mes por cada línea (en la nube,fuera de tu control) es una buena inversión, pero subirle el sueldo a sus empleados es perder dinero.
#44 Es porque los bancos hacen test de liquidez (que dictan el tipo de interés de los préstamos y que al publicarse influyen en el valor de las acciones y la aceptación por parte de grupos de inversión) favoreciendo la compra de "productos y servicios" frente a la contratación o los salarios. Eso es porque se considera que lo primero son activos que dan productividad y los empleados en cambio son un gasto fijo.
Las entidades financieras no quieren que se contrate gente ni que se paguen buenos sueldos porque esto distribuiría la riqueza y fomentaría el consumo, reactivando el mercado, mitigando la crisis y arrebatándoles la posición dominante que se han procurado.
Ay, Chema, Chemita, Chemaaaaa, Chemaaaaa
Chema de mi corazóóóóón...
Que te van a echar del temaaa, Chemaaaa
Movistar te da portóóóóón...

Un hacker reconocido encargado de la seguridad de Telefónica, ¿qué podía salir mal?

Pues que fuera Chema Alonso, claro.
que alguien me pase el de rajoi que voy a decirle cuatro cosas...
Hehe, la centralita cloud de mi curro...
Centrex IP, Lexnet, Ibex35, Indra, Telefónica (Marca cárnicas España) ya habrá "pagado los platos rotos" el eslabón más débil, como siempre, vayan tomando nota.

Chapuzas a nivel máximo, de las "Grandes Empresas" esas que son las que "elige el Mercado como mejores" porque los Consumidores son seres de Luz, aunque malos votantes.

Que ganas tengo de que alguien le meta mano, a la Caspa, y les de una mínima pero fuerte Disciplina (sin ser tan mínima, incluso), que llevan décadas viciados y en la involución permanente, y lastrando nuestro futuro.
El ISP, ese gran agujero de Seguridad, mejor pensar en "inSeguridad" por defecto de cosas que no dependan de nosotros, que pensar que "son Casos Aislados" que es Telefónica-Movistar (que puede salir mal)

ete... eteee... (Cesar Alierta, Telefónica-Movistar)
www.youtube.com/watch?v=XM30vP4kXtY

Son los Mejores, joder, nos dirigen los Mejores... borrachos-puteros...
¿Pero ahí no curra ese que va con el gorrito disfrazado de hacker? xD

menéame