Portada
mis comunidades
otras secciones
#9:
Espero que nadie haya compartido con un tercero (wikileaks) datos del censo electoral, con DNI, fecha de nacimiento y código postal incluído.
Comentarios
Espero que nadie haya compartido con un tercero (wikileaks) datos del censo electoral, con DNI, fecha de nacimiento y código postal incluído.
#9 Si esos datos ya han rulado por medio mundo. A los catalanes no les importa que la generalitat haya cedió libremente esos datos a todo el que lo pidiera.
#9 Los datos están cifrados. Con un DNI, Nombre y Código postal se genera un Hash y, este hash, es lo que se relaciona con el colegio electoral.
Ya se hizo así en previsión de lo que iba a pasar.
Cc/ #12
#15 No por ello deja de ser una cesión delictiva de datos.
#16 Cómo? Los únicos datos quese han cedido son direcciones de colegios (información pública) y cadenas de caracteres de las que no se puede extraer ninguna información.
#24 Ese formulario se peude atacar automáticamente.
Podría hacerse un programa que vaya probando combinaciones de los tres datos que piden.
Imagina que lo hago y obtengo un resultado de un hash + colegio. Con ese resultado ya me quedo contento. Imagina que tienes la mala suerte de que es tu DNI.
Entonces cojo el día del referendum, voy a tu colegio electoral y me pongo en la puerta con un cartel en que se vea tu DNI bien grande "11111111H cuando llegues por favor habla conmigo". Si te detienes a hablar conmigo, podría... no se... regalarte un libro sobre seguridad informática. Soy un chico pacífico.
#30 Cierto. Pensaba que respondías al #27
En cualquier caso eso es una posibilidad (aunque técnicamente no es un form ) y Wikileaks no me parece precisamente de confianza para esto
#9 Hasta donde yo sé dicha información está hasheada (transformada con una función irreversible) con lo que dichos ficheros son inútiles si no posees el input correcto.
#13 Y si tienes acceso al sitio en el que la gente mete el input correcto y se genera el hash, puedes relacionarlos con ese hash.
#17 y si tienes acceso al ordenador de hacienda puedes saber lo que paga tu vecino...
La cosa es tener acceso.
#17 El hash se podría generar en el navegador, seguramente se haga así, por lo que quien aloja el sitio web únicamente recibiría un hash y devolvería un centro de votación.
Esa información ya la tiene el sitio, un hash asociado a un centro de votación, por lo que el acceso al sitio no cambiaría la capacidad de acceder a la información del sitio.
#19 Le he echado un ojo y el hash es un sha256 generado a partir de los valores de los input. Con parte de ese hash obtienen la url de un fichero que se bajan y en el que buscan el hash y donde se relaciona con el centro de votación. En general está bien hecho. En principio sólo pueden saber el fichero en el que caes, relacionarlo con tu ip, etc,... Pero eso no es lo importante.
Lo hostea Wikileaks. En cualquier momento podrían modificar el código aunque sólo fuera temporalmente, escondiéndolo por ejemplo en cualquiera de las librerías ofuscadas que usa (jquery, divi, analytics, wordpress,...) y de muchas otras formas. Que no quiero decir que lo vayan a hacer (aunque oye... es Wikileaks...). Y eso sin tener en cuenta que ese "formulario" se puede atacar automáticamente. Eso tampoco es lo importante.
Lo importante es la posible cesión (sea consumada o no) de datos de caracter personal a una entidad privada extranjera o su puesta a disposición del público sin consentimiento.
#26 Lo que describes no sería una cesión de datos si no un ataque de phishing.
Cualquiera puede replicar la web de la declaración de la renta y pedir a los ciudadanos que pongan ahí sus datos de login (dni, valor casila, referencia, etc.) y con eso hacer un ataque man in the middle donde el usuario fuera redirigido a la web oficial (o no, para ese momento el ataque ya se habría producido). Podrían saltar alertas de certificado digital pero para entonces el ataque ya se habría producido.
Ante ese ataque no podrías afirmar que la Agencia Tributaria hubiera hecho una cesión de datos de carácter personal si no que el ciudadano habría sido víctima de un ataque en el cual le habrían robado esos datos.
Lo mismo ocurre si alguien replica la base de datos cifrada del referéndum, o no, y modifica el formulario para capturar datos de carácter personal.
#28 Salvo que la Agencia Tributaria usa datos con muchísima más variación o directamente acceso con certificado.
En mi ejemplo tampoco hacía falta ningún man in the middle, ni modificar el formulario ni nada por el estilo. Si nos metemos en esos saraos (teniendo en cuenta que lo hostea Wikileaks...) ya vamos...
#29 Tu comentario hablaba de modificar el formulario, lo decías así: En cualquier momento podrían modificar el código
#28 Lo que he descrito no es un ataque de phising.
#31 Redirigir al usuario a una web fraudulenta que simula a la original y ha sido modificada para recabar datos personales de forma ilícita es la definición de ese ataque.
#32 Pero eso no es lo que decía. Y no hace falta.
Esto es un mirror, que en teoría es una copia del original, hosteado por Wikileaks. No hay por qué pensar que lo modifiquen, pero la posibilidad existe.
#34 Precisamente el phishing hace mirrors de las webs para imitar la original y robar así los datos de los ciudadanos.
Desconozco de donde ha salido la versión de Wikileaks pero bien podría ser un mirror hecho desde la web oficial original. Si no la modifican es mirror sin más, si la modifican para robar datos es un ataque de phishing.
#35 Y lo hagan o no es una potencial puesta a disposición de datos de caracter personal a un tercero y de forma pública sin unas mínimas garantías, sin autorización e ilegal. Aunque bueno, eso ya lo era también antes de que Wikileaks pusiera un mirror.
#17 Si supones mala fé al propietario si, desde luego se pueden tracear las peticiones y conseguir la info de los que las hayan solicitado.
#17 #20 Lo está hosteando Wikileaks
#9 ya los tienen.
#9 Pero se han compartido por la democracia, eh? si es por democracia para realizar un referéndum ilegal creo que te pueden hasta petar el cacas sin tu permiso.. pero es por la democracia.
PD: la palabra clave para que puedas hacer lo que te salga de las pelotas es "democracia". Lo puedes reforzar llamando al que esté en tu contra "facha franquista votante del PP y adorador de Satán" o lloriquear un poco en plan "Espannnnnya ens roba, torture i oprime!". Si puedes inventarte historias de la Historia para dar más consitencia a tus argumentos, mejor que mejor. Así puedes hacer lo que te salga del alma y encima tener apoyos internacionales.
#9
Vaya mierda de referéndum.
Como se ha explicado en otros hilos, los datos del censo electoral son vulnerables a un ataque por fuerza bruta.
La función Hash es conocida. Se puede crear una tabla con combinaciones posibles de DNI, fechas de nacimiento y CP de Cataluña, calcular el Hash y encontrar la referencia en el censo que se ha compartido por internet.
No es en absoluto seguro.
#0 Gracias por el enlace aunque seas un puto hipster
#6 Ehmm...
gallir saltó del barco hace ya algún tiempo. Anda que no supo cuándo dar el pase de la patata caliente, el jodío.
#0 Y si ahora viene la fiscalía y nos cierra MNM, qué?
Creo que tiene razón el bueno de #2. Se deberá descartar esto ya! Yo voto errónea.
#2 Y nos muelen a palos. Y apresa a Galli por ideólogo. Jodidos fascistassss, esss que me entra un ansiaviva queeeee...
Donde siempre, y cuando toque. Aunque creo que en Catalunya se adelantarán a 2018.
En un piso clandestino?
(Santo y seña!).
Votar en plan virtual no? porque otra cosa....
Bueno, la buena noticia es que la ley, concretyamente la constitución, está salvada.
Puede que existan después de esto, 4 millones de independentistas más, pero está claro que no habrá un referéndum de más.
#1 No te preocupes que tambien hay 8 millones de Pperos más. Les está viniendo esto mejor que un apagado de la prensa...
De echo te aseguro que esto no va a acabar. Estan ambas partes interesadas en que siga. Mientras tanto el pais... a quien le importa.