EDICIóN GENERAL
199 meneos
9041 clics
¿Conoces muchas estupideces en materia de seguridad informática? Claro, sostén mi cerveza (eng)

¿Conoces muchas estupideces en materia de seguridad informática? Claro, sostén mi cerveza (eng)

Troy Hunt pasa revista a algunos de los disparates en materia de seguridad informática, desde almacenar las contraseñas en texto plano, o prohibirle en las condiciones de uso a un usuario decirle a otra persona su fecha de nacimiento hasta revelar los datos de pago de un usuario con solo poner su dirección de correo

etiquetas: seguridad , informática , estupideces
o al comprar algo por internet que los datos de pago estén todos visible en tu tarjeta de crédito. Basta con que alguien te la robe o se la encuentre y poder comprar lo que le de la gana
#1 por no decir la abrumadora cantidad de webs que pasan los parametros de compra a la pasarela de pago por GET o que formatean esos mismos datos en campos "input hidden" modificables por el usuario a través del inspector de código.

Puedes pedir televisores por 0,1€ y luego si quieren que te lo reclamen. El problema ha sido de su pasarela que te cobró mal.
#3 Muchas veces dichas pasarelas de pago no cuentan con la seguridad suficiente y el programador tiene que apañárselas como puede para camuflar la información sensible. De todos modos lo mínimo es que se mande una firma de seguridad para comprobar la validez de los datos, de modo que por mucho que modifiques los campos ocultos del formulario, al ir al TPV te echa para atrás la transacción.
#14 así debería ser, es más, los datos deberían mandarse desde los datos de sesión del servidor sin posible interacción desde un tercero.

Y con doble validación, una de ida a la pasarela y otra de regreso de la pasarela, por si de alguna manera se ha producido algún hackeo en la pasarela del banco o una suplantación maliciosa.

Conozco un caso que podías mandar datos de pedido (un número secuencial) a la página de confirmación de pedido, con los id de producto que querías (vienen en la propia página) y una clave de confirmación de pago aleatoria (simplemente cumpliendo el requisito de longitud) y eso generaba los pedidos que luego llegaban al cliente como pagados.

Una chapuza del tamaño de Asia.
#3 Hace mucho tiempo salió una noticia de que google hacía algo así al recuperar una cuenta de la que supuestamente habías olvidado la contraseña. Todo el proceso se hacía con la máxima seguridad, una cookie encriptada, pero en el último paso... se pasaba la dirección que querías recuperar en claro, y además, no se verificaba que fuera la que realmente estabas recuperando.

Así que podrías intentar recuperar tu propia cuenta, y al terminar con éxito el proceso cambiarlo para otra cuenta.
Jajajaja me encanta... Algunos ejemplos son tan hilarantes como esto xD //Enlace malicioso eliminado por admin//
Aun recuerdo allá por 2009 trabajando para T-Systems, me pusieron en un proyecto para la Generalitat. Yo soy desarrollador, por aquellos años con solo 1 año de experiencia, y me metieron en este proyecto en el que yo, que soy mucho de usar el teclado, hacia los submits de formulario dandole al enter, aunque eso realmente no sea raro en absoluto. Me parecio extraño que no validara campos, pero pensé que eran pantallas en desarrollo, hasta que me di cuenta que TODOS usaban los formularios dandole…   » ver todo el comentario
Yo esto me lo encontré en un equipo de un cliente. Me hizo mucha gracia.  media
#5 eso es más habitual de lo que te imaginas... o dominios donde el administrador es 12345678 ... y con acceso remoto!
Historias para no domir ...
#5 Aficionados... aprended de un genio.  media
#5 No sé si era W7 o W10 que me obligaba a establecer una sugerencia de contraseña.
#10 W10 seguro, puede que 7 u 8 también
#10 Ambos y el 8 también.
#10 Con cuentas locales (offline) no se, pero cuando vinculas tu cuenta de e-mail con Windows 10, no te pide que establezcas ninguna sugerencia de contraseña. Y mira que ya he hecho cientos de instalaciones desde 0.
#5 Espero la clave no fuese que fuese su nombre sino un recordatorio de un sistema para recodar la clave, ej C4rm3ncit4_$$. Si no, mal asunto, ja ja
Y no sólo esa que esos fallos de soguridad sean de auténticos tarados, es que encima atentan contra las d¡leyes de protección de datos. :wall: :wall: :wall:
El título de la noticia es tan malo (traducción literal) que hace linkbaiting para ver realmente de que va
...
Puede ser díficil de creer, pero en una ocasión que asistí a las oficinas centrales de Microsoft en México la empleada que me recibió nos proporcionó su laptop para realizar una presentación. Al encenderla me di cuenta de 2 cosas:

1. El disco duro estaba cifrado desde el arranque con BitLocker y además al iniciar Windows la cuenta de usuario estaba protegida con contraseña. Estoy seguro que esta doble seguridad por políticas internas de Microsoft.
2. El PIN del BitLocker y la contraseña de Windows estaban en 2 diferentes y desgastados post-it pegados en el teclado del portátil. Era claro que llevaban mucho tiempo ahí. Tal vez no quería esforzarse en memorizar las contraseñas.

Que desperdicio de seguridad :wall:
#11 Sobre lo que comentas, me parece que ese tipo de políticas de seguridad pueden ser muy malas, porque no se tiene en cuenta el factor humano. Si la seguridad se convierte en una molestia la gente hará cosas como las que comentan. No sé si aplica a ese caso, pero he visto políticas de seguridad muy malas que solo fastidian a los usuarios y al final para su propia comodidad terminan haciendo cosas como anotar contraseñas a la vista, no cerrar sesión si se van unos minutos (baño, almuerzo, llamadas, etc).
Lo he visto muchas veces, pero afortunadamente cada vez menos. Uno de los mayores riesgos en utilizar la misma clave para todas las aplicaciones o con una regla mnemotécnica fácilmente adivinable, ya que si una de las web guarda la clave en texto normal el admin tiene una mina, solo tiene que probar las claves que parezcan no especificas a su web contra el correo. (Ex. app is www.misfotos.com, usuario pepito@gmail.com, clave: $$Bu3n0s_D14s, es muy probable que tambien sea su clave en gmail).
Error.

menéame