Portada
Hace 6 años | Por --513049-- a troyhunt.com
Publicado hace 6 años por --513049-- a troyhunt.com
¿Conoces muchas estupideces en materia de seguridad informática? Claro, sostén mi cerveza (eng)

¿Conoces muchas estupideces en materia de seguridad informática? Claro, sostén mi cerveza (eng)

 troyhunt.com

Troy Hunt pasa revista a algunos de los disparates en materia de seguridad informática, desde almacenar las contraseñas en texto plano, o prohibirle en las condiciones de uso a un usuario decirle a otra persona su fecha de nacimiento hasta revelar los datos de pago de un usuario con solo poner su dirección de correo

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 9.1k 22

Comentarios

k

Aun recuerdo allá por 2009 trabajando para T-Systems, me pusieron en un proyecto para la Generalitat. Yo soy desarrollador, por aquellos años con solo 1 año de experiencia, y me metieron en este proyecto en el que yo, que soy mucho de usar el teclado, hacia los submits de formulario dandole al enter, aunque eso realmente no sea raro en absoluto. Me parecio extraño que no validara campos, pero pensé que eran pantallas en desarrollo, hasta que me di cuenta que TODOS usaban los formularios dandole click al botoncito de marras. Teniamos entre manos una aplicacion de unos pocos millones en la que podias ignorar cualquier seguridad si usabas el enter porque solo hacian validaciones en cliente, con javascript. Los jefes no me creian hasta que les demostré que con un usuario de demo se podia borrar o reconfigurar la aplicación entera teniendo los permisos mas restrictivos

V 15
K 124
Wolvington
editado

Puede ser díficil de creer, pero en una ocasión que asistí a las oficinas centrales de Microsoft en México la empleada que me recibió nos proporcionó su laptop para realizar una presentación. Al encenderla me di cuenta de 2 cosas:

1. El disco duro estaba cifrado desde el arranque con BitLocker y además al iniciar Windows la cuenta de usuario estaba protegida con contraseña. Estoy seguro que esta doble seguridad por políticas internas de Microsoft.
2. El PIN del BitLocker y la contraseña de Windows estaban en 2 diferentes y desgastados post-it pegados en el teclado del portátil. Era claro que llevaban mucho tiempo ahí. Tal vez no quería esforzarse en memorizar las contraseñas.

Que desperdicio de seguridad wall

V 7
K 53
D
editado

#11 Sobre lo que comentas, me parece que ese tipo de políticas de seguridad pueden ser muy malas, porque no se tiene en cuenta el factor humano. Si la seguridad se convierte en una molestia la gente hará cosas como las que comentan. No sé si aplica a ese caso, pero he visto políticas de seguridad muy malas que solo fastidian a los usuarios y al final para su propia comodidad terminan haciendo cosas como anotar contraseñas a la vista, no cerrar sesión si se van unos minutos (baño, almuerzo, llamadas, etc).

V 0
K 7
D

Por si no lo conoceis...
http://plaintextoffenders.com/
http://plaintextoffenders.com/faq/non-devs

V 3
K 37
e

o al comprar algo por internet que los datos de pago estén todos visible en tu tarjeta de crédito. Basta con que alguien te la robe o se la encuentre y poder comprar lo que le de la gana

V 2
K 27
omegapoint

#1 por no decir la abrumadora cantidad de webs que pasan los parametros de compra a la pasarela de pago por GET o que formatean esos mismos datos en campos "input hidden" modificables por el usuario a través del inspector de código.

Puedes pedir televisores por 0,1€ y luego si quieren que te lo reclamen. El problema ha sido de su pasarela que te cobró mal.

V 4
K 49
Pijus_Magnificus

#3 Muchas veces dichas pasarelas de pago no cuentan con la seguridad suficiente y el programador tiene que apañárselas como puede para camuflar la información sensible. De todos modos lo mínimo es que se mande una firma de seguridad para comprobar la validez de los datos, de modo que por mucho que modifiques los campos ocultos del formulario, al ir al TPV te echa para atrás la transacción.

V 3
K 28
omegapoint

#14 así debería ser, es más, los datos deberían mandarse desde los datos de sesión del servidor sin posible interacción desde un tercero.

Y con doble validación, una de ida a la pasarela y otra de regreso de la pasarela, por si de alguna manera se ha producido algún hackeo en la pasarela del banco o una suplantación maliciosa.

Conozco un caso que podías mandar datos de pedido (un número secuencial) a la página de confirmación de pedido, con los id de producto que querías (vienen en la propia página) y una clave de confirmación de pago aleatoria (simplemente cumpliendo el requisito de longitud) y eso generaba los pedidos que luego llegaban al cliente como pagados.

Una chapuza del tamaño de Asia.

V 0
K 10
D

#3 Hace mucho tiempo salió una noticia de que google hacía algo así al recuperar una cuenta de la que supuestamente habías olvidado la contraseña. Todo el proceso se hacía con la máxima seguridad, una cookie encriptada, pero en el último paso... se pasaba la dirección que querías recuperar en claro, y además, no se verificaba que fuera la que realmente estabas recuperando.

Así que podrías intentar recuperar tu propia cuenta, y al terminar con éxito el proceso cambiarlo para otra cuenta.

V 1
K 16
Kwisatz

Yo esto me lo encontré en un equipo de un cliente. Me hizo mucha gracia.

comment_21657152 media
V 4
K 27
d

#5 eso es más habitual de lo que te imaginas... o dominios donde el administrador es 12345678 ... y con acceso remoto!
Historias para no domir ...

V 3
K 31
barcelonauta

#5 Aficionados... aprended de un genio.

comment_21657416 media
V 11
K 73
katinka_aäå

#5 No sé si era W7 o W10 que me obligaba a establecer una sugerencia de contraseña.

V 1
K 16
D
autor

#10 W10 seguro, puede que 7 u 8 también

V 0
K 12
M

#10 Ambos y el 8 también.

V 0
K 11
m

#10 Con cuentas locales (offline) no se, pero cuando vinculas tu cuenta de e-mail con Windows 10, no te pide que establezcas ninguna sugerencia de contraseña. Y mira que ya he hecho cientos de instalaciones desde 0.

V 1
K 12
D

#5 Espero la clave no fuese que fuese su nombre sino un recordatorio de un sistema para recodar la clave, ej C4rm3ncit4_$$. Si no, mal asunto, ja ja

V 0
K 6
Capitan_Centollo

Y no sólo esa que esos fallos de soguridad sean de auténticos tarados, es que encima atentan contra las d¡leyes de protección de datos. wall wall wall

V 2
K 25
n
editado

Error.

V 0
K 9
Candidatas
19
meneos
tecnología EE.UU. estudia cómo frenar la tecnología de China con RISC-V
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
10
meneos
tecnología La Audiencia Nacional de España niega a EEUU una extradición por uno de los mayores ciberataques de la historia: Conficker
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
8
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
7
meneos
tecnología La Mega Drive llega a España
23
meneos
tecnología musicForProgramming ();
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
mrboo

El título de la noticia es tan malo (traducción literal) que hace linkbaiting para ver realmente de que va
...

V 0
K 9
D

Lo he visto muchas veces, pero afortunadamente cada vez menos. Uno de los mayores riesgos en utilizar la misma clave para todas las aplicaciones o con una regla mnemotécnica fácilmente adivinable, ya que si una de las web guarda la clave en texto normal el admin tiene una mina, solo tiene que probar las claves que parezcan no especificas a su web contra el correo. (Ex. app is www.misfotos.com, usuario pepito@gmail.com, clave: $$Bu3n0s_D14s, es muy probable que tambien sea su clave en gmail).

V 0
K 6
P
editado

Jajajaja me encanta... Algunos ejemplos son tan hilarantes como esto lol //Enlace malicioso eliminado por admin//

V 19
K -63