EDICIóN GENERAL
884 meneos
2272 clics
Denuncian al ingeniero informático que advirtió del agujero de seguridad en las 'apps' de Metrovalencia

Denuncian al ingeniero informático que advirtió del agujero de seguridad en las 'apps' de Metrovalencia

Ferrocarrils de la Generalitat Valenciana (FGV) ha presentado una denuncia contra el ingeniero informático que advirtió el pasado mes de diciembre de la existencia de un agujero de seguridad en las apps de Metrovalencia y TRAM. La empresa pública de transporte toma esta decisión tomada al entender que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 6.000 usuarios al alcance de terceros.

| etiquetas: fgv , metrovalencia , seguridad , aplicaciones móviles , apps
Comentarios destacados:                                  
#1 Este país de mierda es increíble, en vez de corregir el problema, te cebas con el que te hace ver que tienes un problema.
Este país de mierda es increíble, en vez de corregir el problema, te cebas con el que te hace ver que tienes un problema.
#1 Es algo común, los imbéciles que han puesto a dirigir el cotarro no tienen ningún recurso intelectual y no les gusta que sea público
#8 gañaaaaaaaaanessssssssssssssssssssss
#8 por la aplicación pagas un pastón a una empresa amiga, pongamos que se llama Andri, le das un millón y te da una mierda hecha por el becario. Luego Andri paga la campaña del Partido que Puntualmente estaba en el apaño. La app es un truño pero no puede salir a la luz CC #9
#1 no es que no tengas razón,pero seguro que su contrato tenia una clausula de confidencialidad y habrán tirado por ahí.
#9 Pero si es un usuario, no un trabajador de la empresa...
#18 mis neuronas no están muy finas pues,ley que era un Ingeniero informático,y pensé que era alguien que trabajaba en el proyecto.
#37 Ley <> leí.
#18 gracias a una de las maravillosas reformas del código penal, hacer pruebas sin autorización del propietario es un delito penado con carcel.
#83 Oiga, ¿me da su permiso para demostrar que es un delincuente?
#83 Lo cual es completamente normal y adecuado. Una cosa es encontrarte un bug y reportarlo y otra ponerte a hacer "pruebas" para buscarlo.

En una empresa donde trabajaba, cuando pagabamos a alguien para que nos auditase y buscase vulnerabilidades le haciamos un contrato de antemano diciendo donde podía buscar y cuando tenía que parar immediatamente y notificarnoslo si encontraba ciertas cosas.

Dicha empresa manejaba datos sanitarios de pacientes, así que todo el proceso se trataba…   » ver todo el comentario
#9 que contrato? wtf xD
#1. 'Nuestros' gestores entienden del desarrollo, del mantenimiento y de la vida de un proyecto de software lo mismo que de física cuántica y el enigma de la tortilla de patatas de Schrödinger con y sin cebolla en superposición.

En paises del norte de europa, aparte de condecorarlo, a este ingeniero se lo rifarian las empresas públicas y privadas.
#26 Mas que gestores, son Neandertales con cargos públics
#31. Los Neandertales por lo menos tenian cerebro. :troll:

Si 'nuestros gestores' fueran planetas podriamos descartar la vida inteligente en toda la galaxia.
(CC #26)
#32 Si, tienes razón, estos tiene algo sobre los hombros para mantenerles la peluca...
#1 La omertá debería darse desde primero de EGB para que luego no nos pasen estas cosas.
#1 exacto, ese informatico debertia de ser contratado y premiado por descubrir ese agujero de seguridad, en cambio seguimos matando al mensajero.
#1 Seguro que tendrían algún plan económico millonario para eso pero este individuo se lo ha fastidiado y ahora alguien se ha quedado sin sus millones.
#1 pero a todos los niveles
#1 Yo descubrí un agujero de seguridad en una aplicación interna de mi empresa.
Básicamente te dejaba acceso a TODA la información de la empresa desde Internet.
No había que tener ningún conocimiento informático para saltarse la protección.
Se lo comuniquéis a mi jefe... que dijo que se lo había dicho a los informáticos... y que estos le habían dicho que no había ningún problema y que además ya estaba corregido.
Yo le seguía diciendo que no, que no habían corregido nada.
Y el todo tranquilo…   » ver todo el comentario
#1 es más simple: dilatan hasta que prescribe (o al menos lo intentan)
#1 Más que el pais, el problema lo tiene el director de FGV
Hay 2 tipos de gente, a la que le corriges y se lo toma a bien, te da las gracias y le pone remedio, y la que se encabrona y arremete contra el que le corrige porque ha visto su ego manchado... como en la vida misma.
#2 Hay 10 tipos de personas ...
#22 Los que saben binario, los que no saben binario, y los que no se esperaban un chiste en base 3.
#34 10 en base 3 serían 4 respuestas...
#42 Em... no. 1=1, 2=2, 3=10
#51 Binario es base 2, en base tres: 2=2 y 3=20.
#58 No, 3=10 en base tres
#65 Eso! Esto me pasa por ir de listo xD
#58
En base 3:
1=1
2=2
3=10
4=11
5=12
6=20

Y así, igual que el binario:
1=1
2=10
3=11
4=100
5=101
6=110
etc, etc.
#51 se te olvida el 0
#2 Voy a enseñarle este comentario a mi jefe a ver si sabe en cual de las dos categorías está :-x
#81 Apostaría mucho dinero si lo tuviera a que diría que está en la primera.
Aviso a navegantes. La próxima vez, en vez de ser un buen ciudadano y avisar a la empresa, id al juzgado a poner una denuncia por violar las leyes de protección de datos. Se van a enterar igual y ya no das opción a que te denuncien a ti.
#7 Lo peor es que parece que eso fue lo que hizo
El informático que ha presentado la denuncia, que también ha remitido un escrito a la Agencia Española de Protección de Datos (AEPD), adjunta en la misma una auditoría donde explica, punto por punto, el problema que lleva a que estos datos estén en abierto
www.meneame.net/story/app-metrovalencia-deja-descubierto-datos-60-000-

La denuncia al usuario es por usar herramientas para demostrar que se podía acceder a los datos.
#12 Usar herramientas :shit: Mira, es que ha usado un martillo!
#23 Es complicado. Si tú tienes una puerta cerrada con llave y yo demuestro que se puede abrir con un destornillador y entro en tu casa... probablemente me caiga un puro por meterme donde no me llaman aunque la intención sea avisar de la falta de seguridad.
#43 El problema es que no había esa cerradura, de ahí el tema...
#45 el problema viene en que todas las cerraduras compartían la misma llave.
#66 si, te lo compro. O mejor, dejaron la llave maestra en la app y entonces, se abren todos los buzones. xD
#43 No exactamente, porque lo que hay dentro no es tuyo son datos de otros usuarios. Es como si tienes un hotel donde "vive" gente y descubres que la puerta trasera se puede abrir fácilmente y lo compruebas para avisar al hotel que por ahí se podría meter ladrones.
#62 Tambien estaban los datos propios. El agujero de seguridad que afectaba al propio informatico, como usuario, afectaba al resto de usuarios de la app.
#96 Claro, en este caso este informático vivía en el hotel y les dijo, oye, no me siento seguro aquí porque por esa puerta cualquiera puede entrar a las habitaciones.
#99 Y lo he demostrado sin causar daño alguno.
#43 El tema es cuando es la cámara acorazada de un banco la que se puede abrir con un destornillador. Entonces el bien común de hacer pública esa información debe pesar sobre la (debatible) intrusión necesaria para demostrar el problema.

Hacen falta leyes de protección a los whistleblowers.
#93 Porque la manía de usar palabros en inglés cuando en español existen desde siempre y ni son puramente conceptos nuevos que no existen en Español :wall:
#97 Qué sugieres? Porque 'chivato' no es exactamente lo mismo. Y 'filtradores' o 'informantes' tampoco me convencen. Whistleblower tiene un componente benigno, es decir, la persona que avisa lo hace por el bien común ante una ilegalidad.
#43 Pero puedes probar que puedes abrir la puerta sin entrar en la casa, ¿no? Y si no tienes que forzar ninguna cerradura, simplemente usar la llave, pues no has hecho nada ilegal, ¿no?
#12 En un país donde no se aplica la responsabilidad patrimonial de los funcionarios en estos casos de franca temeridad y mala fe contra los "whistleblowers" se dan demasiado frecuentemente estos arranques de "soberbia administrativa". Estoy casi seguro de que se archivará la denuncia.
#33 ya sabes en este puto país de mierda la administración tiene "imperium" (todos los actos administrativos se presumen validos y ejecutables [aunque en realidad no lo sean, y si no te gusta vete al juez]), se lo han creído demasiado; y en otros países la administración no es tan poderosa
#33 Los jueces en este país no tienen miramientos en aplicar la ley contra un particular como el de este caso, sin perder tiempo ni en leerse la documentación del caso ni en fundamentar los argumentos de la condena, que copiarán y pegarán de cualquier otra sentencia. Les basta con ver el encabezado de la demanda, el estado es el denunciante y el acusado un ciudadano. Caso distinto sería si el denunciado fuese una gran empresa, un pez gordo o el estado, entonces sí se archivaría la denuncia y el juez argumentaría la sentencia con cuidado y con todo detalle.
#91 Cuando es un pez gordo tampoco creas que lo argumentan mucho. Muchas veces les vale con un copia-pega sin la más mínima reflexión sobre el caso concreto ni sobre el delito del que se trate, que pueden usar siempre que quieran sin cambiar absolutamente nada más que la fecha.

Esto, por supuesto, está prohibido, pero les da exactamente lo mismo. Si alguna vez han llegado a sancionar a alguien por ello, habrá sido a algún juez que les incomodaba en ese momento (me suena que una de las cosas por las que investigaban a Silva era haber archivado tres denuncias o así sin argumentar nada).
#12 Entonces la próxima vez que utilicen el buzón de chivatos de El Diario para proteger su anonimato y que sean otros quienes denuncien.

O, en su defecto, que se lo cuenten a los abogados de Abascal para que los entierren en demandas judiciales si el Gobierno en posesión del ente público en cuestión es de izquierdas, como parece ser el caso de FGV :troll: (Cc #13 :troll: )
#12 #7 pues mejor sacar los fallos a la luz de forma anónima
#12 Usar un único token estático para TODAS las peticiones es algo que se puede comprobar facilmente por muchos medios, en este caso ha hecho uso de ingenieria inversa, pero un capturador de paquetes en su propia red y usar la wifi para realizar la conexión también le podría haber valido para ver que TODAS las sesiones compartian token, luego ya es cuestión de lanzar peticiones al API con ese token y a ver que sale, es que de verdad no tiene puto sentido nada de esto.

También un 10 al genio que decidió que todas las peticiones compartieran token, bienvenidos al nuevo estandar mierda.
#49 Es que faltan auditorías de seguridad en lo público, creo que ya hay empresas que se dedican a eso así que sólo habría que contratarlas. Y habría que exigir que las aplicaciones públicas, por lo menos las que tengan datos de usuarios pasaran la auditoría antes del lanzamiento.
#70 Faltan auditorías en lo público, así, en general.
#49 Si pagas con cacahuetes ...
#12 el problema que el señor juez le sonará a chino , porque el nivel informático brilla por su ausencia y las leyes van siempre décadas por detrás.
#7 Si que la das. Como has visto si no el fallo?
#7 En realidad lo que hay que hacer es dejarlo en manos de un abogado. Si la denuncia la pone un abogado, debido a su contrato de confidencialidad contigo, no tiene porqué decir quien es el que le ha pasado la información. Pero, claro, ¿quién va a pagar a un abogado para que ponga una denuncia por un programa mal hecho? Sobretodo, si ni siquiera va a obtener el reembolso de los gatos del abogado.

Otra forma es hacerlo anónimamente a través de x-net.
Se van a gastar en abogados lo que no se gastaron en contratar a un buen ingeniero al principio.
#3 con todo lo que han robado les sobra para legiones de abogados
#13 #3
Los abogados los vamos a pagar con nuestros impuestos
#3 joder como le has dado
#3 Y encima van a perder el juicio :palm:
Lo sangrante es que FGV no va a denunciar a Proconsi SL por haberles programado un app que expone datos de sus usuarios.

Es como si contratas a un carpintero para que te fabrique una mesa de madera a medida y denuncias al colega que descubre termitas en la mesa en vez de al carpintero :shit:
#10 totalmente de acuerdo, que una empresa chapuzas denuncie al que ha destapado sus chapuzadas entra dentro de lo normal (aunque si existiera verdadera justicia no sería posible), ahora bien, que una empresa pública no denuncie a quien le ha timado es una puta vergüenza (por mucho que sea habitual en España)
#11 timado? estan todos en el ajo
#14 que los responsables de la empresa estén en el ajo (que estoy de acuerdo contigo que seguro que lo están) no quita que la empresa pública haya sido estafada, siendo todos los valencianos los que pagan la estafa
#15 y los responsables politicos que la contrataron tambien
#11 Denuncias al proveedor y este te saca fotos tuyas con el jamón de regalo que te enviaron o peor aún, con las jamonas a las que te llevaron de postre.
#10 Lo que también creo que es importante resaltar es que FGV debería de controlar lo que subcontrata. Le han dado una mierda, pero es que _nadie verificó lo que le entregaban_ las subcontrataciones de las empresas públicas suelen funcionar así. Entregas una mierda, y nadie lo mira.
#10 Apuesto a que la empresa adjudicatara es de un amigo/cuñado/familiar/sobres de por medio.
#75 En CohechoBet está con una cuota de 2,87, aprovecha para hacerte rico :take:
#10 Conociendo como suele funcionar el tema de las subcontratas en la administración pública me extrañaría que denunciaran a la empresa de los amiguetes antes que al que ha descubierto la chapuza
#10 ¡Que son compañeros coño!
Menudos ineptos, en vez de preocuparse por su software quieren aplastar a quién le saca los fallos. Espero que la denuncia no progrese.
"Existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana"
:palm:
#5 "Existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana"

madre de dios
#5 Parece ser una api key estática, lo que se suele utilizar como seguridad básica cuando no hay autenticación de usuarios en el sistema.
Típico.

Peces gordos de FGV: "¿Qué es esto de poner en evidencia que nos hemos gastado lo mínimo en informática para poder llevarnos más tajada? ¡Hay que denunciar a ese cabrón!"
Ya lo expreso dpm en un gag cruz y raya en la tele "... A alguien le ha pasado algo en alguna parte en algun momento".

Al final los hackers eticos van a tener que decir cosas similares "teneis un agujero de seguridad en alguna parte de vuestra infraestructura" y si quereis saber cual es hacedme una oferta y canto, porque los políticos solo entienden en de extorsion y chanchullos asi que tienes que hablarles en su misma jerga!
#17 Y creo que Cruz y Raya se basaron en un gag de Gila: "Alguien a matado a alguien por aquí..."
www.youtube.com/watch?v=gLZQpvvyeQc
#17 Al final los hackers étcos van a publicar las vulnerabilidades anónimamente,
sin advertir a la empresa antes, con máxima difusión...., y que les jodan.
Se lo están ganando a pulso...
#24 No, hace falta CESAR más. Si no dimites, que te dimitan sin miramientos.
Quien ha tomado la decisión de denunciar dentro de Ferrocarrils de la Generalitat Valenciana (FGV) debería ser fulminado en el acto. Si encuentran un error de tu responsabilidad lo arreglas y das las gracias, y si alguien ha podido acceder a la información personal es por tu culpa, por lo que deberías pedir perdón y apechugar con las consecuencias de tus actos.
#20 pedir perdón y DIMITIR, que no pasa nada por irse a hacer otras cosas...
Hay que decirlo más.
En España cuando encuentras un problema no hay que avisar, hay que sacar tajada. Lección aprendida.
#21 Tampoco hay que rendirse automáticamente.
Podrías avisarles de que tienen una vulnerabilidad y pactar con ellos que no van a tomar represalias.
Es muy penoso, pero es mejor que delinquir.
#28 ¿Pactar? ¿No acabas de leer que le han denunciado?. No, eso se hace así: Mandas un mensaje que no se pueda rastrear para avisar y, si no hacen caso, intentas vender la vulnerabilidad y si nadie te la compra la publicas en alguna página 0day y que les follen a esos hijos de puta.
#36 Coño, han denunciado porque el programador les denunció antes.
#36 Muy constructivo. Sobre todo, si mandas un mensaje anónimo te van a hacer mogollón de caso.
#79 Por eso lo que hay que hacer a continuación es tratar de vender la vulnerabilidad y sacar tajada. España no es un país que apoye la innovación y la investigación y eso tiene un precio.
#28 hombre, delinquir delinquir... tampoco nos vengamos arriba eh xD
#44 Puessss... Con eso de la RGPD creo que obtener los datos de otro y usarlos para cualqueir cosa es delinquir...
#78 Y dejarlos expuestos, decir que lo has arreglado y volverlos a exponer también es castigable por la RGPD y no se hasta que punto ha usado los datos de otro cuando lo ha hecho para demostrar la vulnerabilidad, no ha hecho uso de información privada para sacar beneficio.

Es más, cómo coño te voy a decir que tienes una vulnerabilidad sin demostrarla primero?
#80 Es más, cómo coño te voy a decir que tienes una vulnerabilidad sin demostrarla primero?

Magia, aparentemente...
#76 estás poniendo en mi boca palabras que no he dicho, me refiero a la parte alta de la jerarquía, el responsable informático que tiene que tener una visión global del todo, de todas las estructuras subyacentes o no, y tener una estrategia informática coherente. Te lo digo más fácil: a nivel de organización (en este caso informática) me refiero al nivel estratégico no al nivel operacional (o táctico)
Esto os puede arrojar algo de luz:
Por lo que tengo entendido, la jefa de sistemas es una persona bastante peculiar que no tiene siquiera la carrera de informática y que encima está siempre presionando a los pobres chavales de las contratas.
#50 Para entrar a trabajar en FGV, en los grupos bajos, se tiene que acceder vía oposición... en cambio en los grupos más altos se hace a "dedo", esto también puede explicar más cosas.
#50 lo de un/a jefe/a de sistemas sin la carrera de la informática: si me dan medio euro por cada vez que lo he visto en algún sitio me hago multimillonario, no ponen a profesionales, piensan que cualquiera vale para eso (y si es amiguito mejor)
#61 Ahora resulta que necesitas un ingeniero para hacer una web o mantener una red? Entonces son ilegales aquellos FP de grado superior donde te enseñan a ello?.
#76 Para eso no necesitas un ingeniero, pero para ser la persona responsable de una empresa como FGV creo que sí.
#76 te he contestado y no has contestado nada
#76 Juan García que ya te he contestado......... ado........ ado.....
#61 Lo peor no es el hecho que no tenga el título, lo malo es que sea una incompetente. De hecho, uno de los mejores superiores que he tenido (IT) es físico.
#88 con título las probabilidades de que sea competente aumentan, además de que tienes una homologación o certificación -como prefieras-, que es el propio título, es cierto que hay gente sin título muy buena (yo mismo los he conocido) pero te la juegas a menos que lo conozcas muy muy bien; lo contrario también es cierto? pues sí; pero el "papelito" demuestra que ha recibido una formación reglada y homologada, cosa que el "intruso" (con cariño eh) no tiene
Menuda panda de capullos. En vez de agradecer una auditoría gratis, carga contra el mensajero. El próximo mensajero, publicará lo descubierto de forma anónima sin avisar, o venderá la vulnerabilidad para que otro se aproveche.
Esto sólo pasa aquí {0x1f625}
Todo bien, todo correcto... En fin, estas cosas me crispan. Google hubiese dado unas recompensa.
#29 en el país de los gañanes que quieres
A mi entender se juntan tres pecados capitales , ira, envidia y soberbia . Ira porque el cabreo y el odio a quien les enmendo la plana debe ser del diez, soberbia por no reconocer sus defectos, y envidia porque ellos no saben programar bien.
Un clasico. Cuando el sabio señala la luna, el necio mira el dedo.
Yo no veo tan descabellado lo que ha pasado. El ingeniero ha encontrado un fallo en la aplicación y se ha ido a un juzgado a denunciar, ahí ya entiendo que su ánimo es de buscar que la ley castigue a la empresa.
Entonces la empresa lo que está haciendo es defenderse, y si puede agarrarse a un clavo ardiendo para conseguir que parte de la multa que les puede caer sea pagada por el propio ingeniero pues lo va a hacer.

Con todo esto de la nueva ley de protección de datos nos estamos pasando el disclose responsable por el forro. Ya lo dije con el proceder de facua hace unos meses, y este caso me parece casi lo mismo.
#85 El informático ha hecho su deber y ha presentado una denuncia no en un juzgado si no en la AEPD ya que exponía datos privados de todos los usuarios.
Hacer esa denuncia como "defensa" es poco menos que venganza.

No hay disclose responsable con la AEPD, desde el minuto 1 se notifica a la empresa y a la AEPD ya que si no pueden ir de listos, parchear y no notificar a la AEPD habiendo potencialmente un leak de información sensible. Obviamente otro tema seria publicar todo online sin esperar al parcheo, pero a la AEPD hay que notificar.
#95 Ya, la cuestión es que no parece que lo haya notificado. Primero se fue a un juzgado o a la AEPD, y luego a un periódico. Que por lo menos los de facua tuvieron el detalle de notificarlo, muy malamente también sea dicho.

#94 No sabía que eso era un deber de un informático. Y claro que lo hay, cuando notificas una vulnerabilidad de seguridad a una empresa queda un rastro de comunicaciones que lo hacen muy facilmente demostrable. Porque no es coger y mandar un correo con toda la info y esperar a que te contesten. El proceso es bastante más largo.
#100 no es el deber de un informático, es el deber de cualquier persona.

Cuándo hay una exposición de datos sensibles hay dos vías, que la empresa lo notifique en un plazo de 72h (si no recuerdo mal) desde su conocimiento a la AEPD o que la propia persona que tenga conocimiento de ello lo ponga en el conocimiento de la agencia y esta informará a la empresa. Y obviamente lo suyo es notificar a la empresa tambien, pero en España se toman las cosas tan mal que yo dejaría que lo gestione la AEPD.

De nuevo, el disclousure responsable es para la publicación no para la notificación a la AEPD.
#85 Que coño es el disclose responsable? Sera el responsible disclosure o revelacion responsable.

Y si te lo notifican, (Que es curioso que quien define que es responsable es al que pillan con los pantalones bajados), agradeces y solucionas.
Se nos mean en la puta cura y no somos capaces de parar el país y cuadrarnos de una vez...
Típico de este país, vease en este caso, en el de Lexnet o los taxis vs Uber/Cabify. Mejor destruir y putear al que te hace quedar mal que aceptar que has hecho algo mal e intentar mejorar.
No hay palabras para describir el nivel de estupidez. Para otra vez se conecta uno a la red a través de varias VPN y Tor, coge todos los datos y los publica señalando a la empresa responsable.
Empresas normales (con un equipo IT formado) motivan a sus empleados con incentivos para que encuentren este tipo de bugs. Ahora, si la seguridad te la suda...
«12
comentarios cerrados

menéame