La opción de acceso a esa información no está al alcance de cualquier usuario, pero su explotación va más allá de las operadoras telefónicas y de internet. La empresa Amazon también tiene acceso a esa información: la subida al servidor se hace con un software de la compañía estadounidense, con lo que también puede comprobar qué móviles mandaban positivos. Además de grandes empresas, también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves.
Comentarios
La noticia no lo deja claro, pero por lo que entiendo, la app usa AWS, que es de Amazon. De ahí a que Amazon tenga acceso a los datos...va un buen cacho. Yo estoy por votar sensacionalista hasta que lo expliquen correctamente.
#8 Si los encargados de la app dicen que "solo podría ser explotada por el operador de comunicaciones" yo entiendo que Amazon no tenía acceso a nada.
Y la noticia dice "también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves"
Desde la wifi... monitorizando el tráfico que hay en la red. Esto es problema de que el operador ve las conexiones como ve que yo me conecto a meneame y todas las demás páginas. No tiene que ver con Amazon.
#8 Es que es sensacionalista.
Aunque ese tráfico esté cifrado y el contenido de la comunicación sea anónimo, si hay subida al servidor implica que el usuario es positivo. Quien tenga acceso al tráfico, por tanto, sabe quién lo es.
Además de grandes empresas, también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves.
O sea, si alguien hackea los servidores de Amazon y descifra el contenido que se le envía, puede obtener los datos, ya ves tú. Como en cualquier sitio.
#11 Pos si, confirmado. Gracias.
#11. Pues no sé qué decirte, a mí la parte que me preocupa es esta:
" si hay subida al servidor implica que el usuario es positivo. Quien tenga acceso al tráfico, por tanto, sabe quién lo es".
#15 Y quién tiene acceso al tráfico? Además, ese tráfico está cifrado... No sé, a mi me parece que para conseguir datos no hay otra que a través de hackeos.
#16 Tu ISP o quién esté escuchando en la misma red. Que esté cifrado no importa porque si la app se conecta sabes que aunque esté cifrado, esa conexión es para decir que es positivo.
#15 Lo arreglaron en España y otros países creando tráfico falso, así quien intercepte el tráfico no sabe si la conexión es falsa o verdadera.
#17. Exacto, un acceso aún cifrado es prueba de positivo, no sabía que se crease falso tráfico para ofuscar la conexión. Aún así me queda la duda de las cookies de terceros, y si puede leerse si has accedido a la IP a través de la API de Amazon, o la de Google...
La noticia está escrita en un tono muy sensacionalista. No le quita razón, pero no creo qu eel periodista entienda lo que está escribiendo.
- Se encuentra una brecha de seguridad y se subsana.
- Esa brecha de seguridad a pequeña escala hace poco, a gran escala sólo puede explotarse con un man in the middle masivo, al alcance de muy pocos, como las operadoras.
- Menciona que amazon tiene acceso a tus datos, algo no del todo correcto. AWS es un servicio cloud de terceros (amazon) que sí, potencialemtne aloja tus datos, pero eso no implica que no estén seguros, encriptados, y que amazon no pueda acceder a ellos contraactualmente. De hecho AWS aloja muchos otros servicios incluyendo plataformas de pago mucho más interesantes que los positivos covid
La LOPD por mis cojones morenos...
Otro éxito más de este Gobierno de incompetentes.
#1 La LOPD lleva derogada hace unos años, campeón.
Ahora esta la LOPDGDD para poder cumplir la RGPD comunitaria, fiera.
#3 Y eso cambia el fondo de las cosas una barbaridad, eminencia.
Menudo fanático estás hecho, subcampeón, con tal de tratar de defender lo indefendible.
#4 Pues si cambia las cosas, mastodonte, cambia mucho las cosas.
Si no cambiara, no la hubieran derogado, maestro.
#5
Has acertado: soy un mastodonte porque mido 1,98m.
A lo mejor nos quieres hacer creer que la LOPDGDD permite que cualquiera con acceso a los servidores de Amazon o a la WIFI de la aplicación puede conocer datos de esa protección.
#3 pero es /2000 o /2001? Es que no me queda claro.
#2 Por lo que entiendo de la noticia, no alojan nada en los servidores de amazon sino que usan un software suyo. Yo ahora estoy usando firefox para entrar en menéame, entonces ¿sabe firefox que yo estoy entrando en menéame? no, no lo sabe (supongo), del mismo modo que Amazón no debería saber que tú das positivo sino que es la operadora de Internet quién lo sabe al ver tráfico de ciertas características saliendo de tu teléfono. Eso es lo que dicen los encargados de la app, a pesar de lo que dice el titular: “No se ha comunicado al público en general, porque esa posible vulnerabilidad tiene un alcance muy limitado, dado que solo podría ser explotada por el operador de comunicaciones”
Y ya lo arreglaron.
#1 La noticia es sensacionalista.
Esta noticia la ha escrito el mismísimo Miguel Bosé.... Es mega sensacionalista...
Por esa regla de 3, si estás dentro de una red "pública" o "semi-pública" (i.e.: tu trabajo) y estas usando una DNS de esa red, controlada por un atacante o administrador malévolo, pueden ver prácticamente cualquier cosa ...
Es lo que tiene alojar servicios sensibles en la nube. Las administraciones públicas no pueden depender de servicios en nubes públicas por muy cool que quede tener los servidores en amazon
#2 Por si te preocupa el tema de seguridad de datos y "servicios sensibles", te dejo esto https://aws.amazon.com/compliance/programs/?nc1=h_ls No creo que sea un problema de seguridad.
No se podía saber
No entiendo esto
Además de grandes empresas, también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves