La falta de autenticación en la base de datos de los gestores de varios locales en el país permitió a acceder a información sobre las chicas de compañía como su DNI, su talla de pecho o su nombre
#7#3 Seguro que publicar los datos de las escorts con sus documentos de identificación y si tienen hijos va a ayudar mucho al tema de la trata de blancas. Lo que denuncia el tal "Diachenkko" son los problemas de seguridad de bases de datos si lees la noticia. Entiendo que algo así hace mas ruido que publicar los datos de un club de micólogos
Eso no pero la trata de blancas (¿se sigue llamando así?) la extorsión, el operar en B, el defraudar a las seguridad social, sexo con menores, ....etc, sí.
Y buena parte de ese "negocio" tiene que ver con cosas de estas.
#3 Seguro que publicar los datos de las escorts con sus documentos de identificación y si tienen hijos va a ayudar mucho al tema de la trata de blancas. Lo que denuncia el tal "Diachenkko" son los problemas de seguridad de bases de datos si lees la noticia. Entiendo que algo así hace mas ruido que publicar los datos de un club de micólogos
#9 Claro que las dejan darse de alta en la S. Social hombre. Se dan de alta como masajistas en Hacienda y de ahí, con el 036, se van a la S. Social y se dan de alta como autónomas.
#3 Ya también la gente rica son las que más delitos económicos y no económicos potenciales cometen, mientras van dando lecciones. Así que ya sabéis lo que hacéis cuando apoyáis que exista gente multimillonaria. Porque el dinero es la herramienta de la corrupción y cuanto más dinero más potencialmente corrupto se es.
Es sorprendente la cantidad de puteros que hay, hasta los más moralistas.
A mi me da miedo la verdad, el estar con una mujer que ha estado con cualquiera, que a saber las enfermedades que portaban solo los 20 o 30 que se ha follado ese día.
Es una ruleta rusa, paso de pagar un precio tan alto, me conformo con el porno.
#12 Algún día te darás cuenta con qué desprecio las tratas. Eso de no querer tocarlas ni con un palo "porque ha estado con cualquiera". Sucias infectadas, ¿no? No merecen andar por tu barrio
#47 Ya sé lo que ha dicho, no se las follaría porque son sucias e infectadas cuando se pueden duchar (muy común en las escorts) como cualquier otra persona, pueden no estar contagiadas de nada (muy común en las escorts), y aunque lo estuvieran puedes tomar medidas. La cosa es despreciarlas y alejarlas.
Y las escorts son chicas de compañía, seguramente con mucho más saber estar y decencia que él.
#44 como bien dice #47, como personas respeto absoluto y asco cero.
Solo digo que no introduciria mi pene en su vagina, ni rozaría mi vello púbico con el suyo, por mi seguridad.
Igual que nunca chuparia las barandillas de un vagón de metro o el auricular de una cabina de teléfono (cuando las habia), o reutilizaria una jeringuilla, etc. por seguridad
#12 Tu no te has paseado por redes sociales últimamente, busca alguna chica que no haya estado con 20-30 y te quedarás solo. ( Las que no lo dicen también cuenta, pero ojos que no ven, corazón que no siente).
#1 eso mismo. Y revelar datos íntimos de una persona sin su consentimiento expreso es un delito, más aún cuando en este caso no se lo había mandado ellos mismos a nadie
Estaba mirando la noticia y me ha flipado llegar a un punto donde el periodista, seguramente con absoluto desconocimiento de lo que habla y repitiendo como un papagayo lo que le ha dicho algún profesional al que ha recurrido, afirma que el problema es MongoDB, que es muy fácil de hackear y se usa en demasiados sitios.
Me sorprende no encontrar comentarios sobre esta cuestión.
#29 Implementación bastante mediocre, por lo que se ve en el documento json yo veo dos pifias:
- Usa md5 como hash, habiendo hoy por hoy algoritmos hash mas seguros como sha2, sha3, Blake, etc
- Pone las imágenes en crudo en el mismo documento. Lo suyo es usar una colección solo para imágenes, y poner la id de la imágenes en el documento en lugar de la imagen completa
Si los desarrolladores han cometido esos errores a saber que mas fallos han podido cometer relacionados con la seguridad. Pero desde luego la culpa no es de Mongodb
#34 tiene más que ver con el control de acceso. MongoDB lo tiene desactivado por defecto. Si el puerto donde escucha es público, cualquiera podía conectar, abrir la database que quisiera y listar las colecciones.
#84 En CouchDb también pasa algo parecido: por defecto, (hasta que se crean los primeros usuarios) todo el mundo tiene acceso a todo. Lo que se conoce como Admin Party
#29 Pues yo no veo nada exagerado en la noticia. Lo que cuenta es que la instalación por defecto, al menos en versiones anteriores, no es segura. Y ya sabemos que pasa en muchas instalaciones, se instala y poco más.
"Es sencillo configurarla", explica el experto informático Sergio Carrasco sobre este extremo, aunque advierte de que los riesgos asociados a su configuración "no se suelen tener muchas veces en cuenta". "Es un fallo bastante habitual", cuenta a Teknautas. "Hay muchas MongoDB abiertas, entre otras cosas, porque la instalación por defecto no tiene control de acceso. Por eso suele ocurrir", añade, haciendo
#71 Es que eso es lo que no me cuadra, si una db está abierta lo único que gano es acceso a la DB, no al servidor entero. Parece que está mezclando conceptos because potato o me ha vuelto a moder en el culo mi comprensión lectora.
#75 Algunos gestores antiguos guardaban su usuario y pass en el sistema sin encriptar en una de sus tablas, pero no creo que el periodista se refiriese a eso, ni creo que se siga haciendo.
#77 Igual, aquí uno especulando, el mongoDB que tenía esta gente era el clásico server que te montas con una imagen ya hecha y que ni la DB ni la Máquina Virtual tengan contraseña, pero esto último me extrañaría muchísimo.
Otra opción es que el admin tuviese las contraseñas de los users de la web en texto plano en la db, y luego su usuario y contraseña de la web fuesen los mismos que el de acceso al server. Eso es lo único que se me ocurre.
#75 Ya, como que las bases de datos no pueden ejecutar jobs, o incluso tareas con alcance externo a la base de datos, como por ejemplo hacer un backup.
Puedes cargar en una tabla comandos como si fuesen datos, hacer un backup de esos datos, y de momento el script lo tienes en el disco. Alguna manera o vulnerabilidad para ejecutar ese script.
#95 Y yo tampoco, pero los investigadores de seguridad no descansan. En Oracle es factible, al menos en versiones que he probado, pero claro.
Esto me recuerda a un compañero de la asignatura de sistemas operativos que subía rootkits al servidor y les ponía nombres interesantes con la esperanza de que alguien con privilegios los ejecutase para instalarlos.
#29 No ha dicho eso. Lo que han dicho es que hay muchas instalaciones de MongoDB con la seguridad por defecto, es decir, sin contraseña.
Pero también se pueden encontrar instalaciones de otros productos con las credenciales por defecto, ese no es un fallo de MongoDB exclusivamente.
Además por otra parte parece ser que tenían la base de datos escuchando en un puerto público. Solo la aplicación web debería poder hablar con la base de datos. A menos que quieras hacer administración remota desde… » ver todo el comentario
#20 Y como casi todas las profesiones. Si eres peluquero de barrio no es lo mismo que si eres peluquero de Hollywood o el peluquero personal de Trump. Si eres cantante de orquesta de pueblos no es lo mismo que si eres Bisbal. Si eres ingeniero y curras de mantenimiento en una fabrica en el culo del mundo no es lo mismo que si trabajas en una consultoria. Llámame loco, pero ¿a ver si lo que se va a respetar es lo que ganas y no lo que haces?¿A ver si lo que está "mal visto" es ser pobre?
#54 No, con la prostitución eso no pasa. Ya puede una chica ganar 500€ la hora, que como se entere la gente de que se dedica a eso, el estigma que le va a caer encima va a ser de aúpa. El trato de vecinos, profesores de tus hijos, amigos, familia, gente que trabaja en las tiendas y comercios que frecuentas, etc. no es ni de lejos el mismo cuando te consideran una persona normal con un trabajo respetable que cuando tu trabajo es la prostitución.
#27 Entra en la noticia anda, y mira la captura de pantalla de la base de datos. Verás que muchas tienen anotaciones de que no las llamen fines de semana o que están fuera, o que no estarán disponibles hasta determinada fecha.
Vamos, que parece que al menos en este sitio ellas sí que eligen.
#51 Ya, pero si las que trabajan con intermediarios pueden poner sus condiciones, igual las pueden poner las que no tienen intermediarios. Así que no, no trabajas cuando tus clientes quieren, trabajas cuando tú quieres.
#88 Si, ponen sus condiciones, pero no "trabajan cuando quieren" al igual que los repartidores de Globo tampoco trabajan cuando quieren. Estoy cansada de verles sentados delante de la estación de Sants esperando que les entre algún pedido. Efectivamente, cuando no quieren trabajar no trabajan, pero cuando quieren igual tampoco trabajan.
Y las que cobran a 200€ la hora igual preferirían tener un horario de 9 a 14h, pero resulta que a sus clientes ese horario no les suele venir bien. Así que si, pones tus condiciones, pero tienen que ser compatibles con las del sector.
Mira esto es nuevo, titulares de mierda-media española a golpe de Netflix.
Sólo que El Gran Hackeo no va de los datos al descubierto, si no de cómo las grandes tecnológicas de internet manipulan la democracia accediendo a ellos con nuestro permiso, implícito o explícito.
Puta mierda de medios españoles, informativamente hablando cada vez nos parecemos más a América del Sur.
#6 es que es continuo el uso de titulares gancho, las cajas de "noticias" al el pie de las noticias , o en los laterales , osea todo para generar trafico , lo que denota el gran "nivel" de los medios españoles.
Y si ya hablamos de que en un articulo que tenga algo mas o menos técnico se exprese de forma coherente, ya es un puto milagro.
#11 ¿Es un problema de los medios españoles o es un problema de los medios?
Si es un problema de los medios españoles por las características de nuestra cultura o economía, tiene sentido indicarlo, porque la solución será única y específica para tal cultura y economía.
Si es un problema mundial, buscar una solución específica a un problema específico es una pérdida de tiempo, pues no existe tal problema específico.
#23 de nuestros medios, mira medios de otros países y ninguno tiene tal cantidad de publicidad , generadores de trafico , etc. Que muchos medios parecen mas un site de descargas por la cantidad de publicidad que tienen que un site de información.
#48 En todas partes hay medios sensacionalistas, spameros y serios.
Si seleccionas los 4 medios más serios del extranjero y los comparas con los 4 medios más asquerosos de españa, no estás más que aplicando un sesgo de confirmación.
Una sencilla búsqueda en internet te descubrirá que los angloparlantes se quejan de los clickbaits y del sensacionalismo tanto como los hispanoparlantes.
Si tienes la suerte de hablar noruego, francés, o chino te encontrarás que los hablantes de tales lenguas se quejan igualmente del mismo problema (supongo).
#31#23 El problema es que lo que no se mide no existe. Lo clicks se pueden medir aunque no se haya leido el articulo. Sin embargo, medir si le ha interesado el articulo no se puede medir facilmente.
Otro problema es la financiacion por publicidad. Lo que le interesa no son buenos articulos y puede que los buenos les beneficien menos. Además pueden presionar para ser favorecido por los medios.
La publi aunque en principio parece gratis, nunca lo es porque es pagada por los clientes al comprar.
#8 los mismos que ponen su número de tarjeta y código de seguridad cuando reciben el mail del banco falso, aunque ese banco suplantado no sea ni donde ellos mismos tienen la cuenta
#8 Usuarios. No registran su nombre pero si un alias, además de dirección IP (ubicación básica, operadora de telecomunciaciones), clase de dispositivo que utiliza (marca, modelo, resolución de la pantalla), tarjeta con la que ha pagado (operador de la tarjeta, por ejemplo si es VISA...), comentarios que ha hecho de las chicas...
Quizás pueda itentificársele con todos los datos, y si no da igual porque se le puede extorsionar. Y a ellas también.
#8 Solo se registran los apodos de los comentarios, pero en el titular da a pensar que hay datos personales, supongo para vender mas noticia de la que es.
Se dedicarán a un negocio "indigno" y algunos serán hasta criminales, pero...
El día 6 de agosto, es decir, el pasado miércoles, cuenta que contactó con ellos. Poco después le llegó un correo de vuelta, agradeciéndole el aviso. El propio investigador pudo comprobar cómo el acceso a esa información estaba cortado esa misma jornada.
...ya quisieran las empresas "serias" portarse con esta profesionalidad cuando alguien les avisa de un agujero.
#66 Hace un par de años me registré en una página web para comprar unas cosas, había leído buenas opiniones y tiré p'alante. Cuál es mi sorpresa cuando tras rellenar el formulario de registro me llega un email con mi contraseña en texto plano. Eso significa que no la encriptaban para meterla en su base de datos. Ni corto ni perezoso le envié un email al administrador de la web advirtiéndole de la falla (que por otra parte es fácil de subsanar) y me respondió diciéndome que su web utilizaba las más estrictas políticas de seguridad y que no tenía por qué preocuparme de hipotéticas 'filtraciones'. Al final me tocó ejercer el derecho de borrado para que eliminasen mis datos de su página.
Tener el boletín de cambio listo antes del martes, con toda la documentación anexa, ir al comité de los jueves, y no poder ejecutarlo hasta antes de las 15h de ese mismo jueves.
Al final lo hago todo como si fuese una ninja. A menos que el cambio corte un servicio gordo mucho tiempo prefiero pedir perdón que permiso.
#69 Un titular más adecuado sería: "Hacking ético destapa una vulnerabilidad en el sistema informático la red de burdeles de levante que potencialmente expondría los datos de miles de trabajadoras y clientes"
Eso no pero la trata de blancas (¿se sigue llamando así?) la extorsión, el operar en B, el defraudar a las seguridad social, sexo con menores, ....etc, sí.
Y buena parte de ese "negocio" tiene que ver con cosas de estas.
diariodeavisos.elespanol.com/2016/08/gloria-poyatos-decidi-darme-alta-
La que no se da de alta es porque no quiere.
Y es lógico.
Salu2
Es sorprendente la cantidad de puteros que hay, hasta los más moralistas.
A mi me da miedo la verdad, el estar con una mujer que ha estado con cualquiera, que a saber las enfermedades que portaban solo los 20 o 30 que se ha follado ese día.
Es una ruleta rusa, paso de pagar un precio tan alto, me conformo con el porno.
Y las escorts son chicas de compañía, seguramente con mucho más saber estar y decencia que él.
Solo digo que no introduciria mi pene en su vagina, ni rozaría mi vello púbico con el suyo, por mi seguridad.
Igual que nunca chuparia las barandillas de un vagón de metro o el auricular de una cabina de teléfono (cuando las habia), o reutilizaria una jeringuilla, etc. por seguridad
Si fuera a hacer daño no habría dicho nada.
A mi lo que haga la gente normal, me da igual.
Me sorprende no encontrar comentarios sobre esta cuestión.
- Usa md5 como hash, habiendo hoy por hoy algoritmos hash mas seguros como sha2, sha3, Blake, etc
- Pone las imágenes en crudo en el mismo documento. Lo suyo es usar una colección solo para imágenes, y poner la id de la imágenes en el documento en lugar de la imagen completa
Si los desarrolladores han cometido esos errores a saber que mas fallos han podido cometer relacionados con la seguridad. Pero desde luego la culpa no es de Mongodb
Si no securizas las conexiones de la DB que encima resulta que esta publicada a Internet, normal que ocurran estas cosas.
A quien coño se le ocurre abrir la DB a Internet !!!!
O puertos SSH que también los he visto abiertos, y no, no era un honeypot.
"Es sencillo configurarla", explica el experto informático Sergio Carrasco sobre este extremo, aunque advierte de que los riesgos asociados a su configuración "no se suelen tener muchas veces en cuenta". "Es un fallo bastante habitual", cuenta a Teknautas. "Hay muchas MongoDB abiertas, entre otras cosas, porque la instalación por defecto no tiene control de acceso. Por eso suele ocurrir", añade, haciendo
… » ver todo el comentario
Otra opción es que el admin tuviese las contraseñas de los users de la web en texto plano en la db, y luego su usuario y contraseña de la web fuesen los mismos que el de acceso al server. Eso es lo único que se me ocurre.
Puedes cargar en una tabla comandos como si fuesen datos, hacer un backup de esos datos, y de momento el script lo tienes en el disco. Alguna manera o vulnerabilidad para ejecutar ese script.
Esto me recuerda a un compañero de la asignatura de sistemas operativos que subía rootkits al servidor y les ponía nombres interesantes con la esperanza de que alguien con privilegios los ejecutase para instalarlos.
Pero también se pueden encontrar instalaciones de otros productos con las credenciales por defecto, ese no es un fallo de MongoDB exclusivamente.
Además por otra parte parece ser que tenían la base de datos escuchando en un puerto público. Solo la aplicación web debería poder hablar con la base de datos. A menos que quieras hacer administración remota desde… » ver todo el comentario
cc #17
Y el moro rico no es moro, si no árabe.
Aporofobia.
Hace tiempo oí una expresión, que creo que lo define bien. "Huele a pobre".
Yo creía que Marruecos estaba al lado de Nueva Zelanda....
No me lo invento, lo decía una actriz porno… » ver todo el comentario
Vamos, que parece que al menos en este sitio ellas sí que eligen.
Y las que cobran a 200€ la hora igual preferirían tener un horario de 9 a 14h, pero resulta que a sus clientes ese horario no les suele venir bien. Así que si, pones tus condiciones, pero tienen que ser compatibles con las del sector.
Sólo que El Gran Hackeo no va de los datos al descubierto, si no de cómo las grandes tecnológicas de internet manipulan la democracia accediendo a ellos con nuestro permiso, implícito o explícito.
Puta mierda de medios españoles, informativamente hablando cada vez nos parecemos más a América del Sur.
Y si ya hablamos de que en un articulo que tenga algo mas o menos técnico se exprese de forma coherente, ya es un puto milagro.
Si es un problema de los medios españoles por las características de nuestra cultura o economía, tiene sentido indicarlo, porque la solución será única y específica para tal cultura y economía.
Si es un problema mundial, buscar una solución específica a un problema específico es una pérdida de tiempo, pues no existe tal problema específico.
www.rt.com/
www.mirror.co.uk/
www.theatlantic.com
www.theguardian.com
www.latimes.com/
nuestros medios son una puta discoteca ....
Si seleccionas los 4 medios más serios del extranjero y los comparas con los 4 medios más asquerosos de españa, no estás más que aplicando un sesgo de confirmación.
Una sencilla búsqueda en internet te descubrirá que los angloparlantes se quejan de los clickbaits y del sensacionalismo tanto como los hispanoparlantes.
Si tienes la suerte de hablar noruego, francés, o chino te encontrarás que los hablantes de tales lenguas se quejan igualmente del mismo problema (supongo).
Otro problema es la financiacion por publicidad. Lo que le interesa no son buenos articulos y puede que los buenos les beneficien menos. Además pueden presionar para ser favorecido por los medios.
La publi aunque en principio parece gratis, nunca lo es porque es pagada por los clientes al comprar.
Me has sacado una sonrisa. Toma positivo.
Quizás pueda itentificársele con todos los datos, y si no da igual porque se le puede extorsionar. Y a ellas también.
El día 6 de agosto, es decir, el pasado miércoles, cuenta que contactó con ellos. Poco después le llegó un correo de vuelta, agradeciéndole el aviso. El propio investigador pudo comprobar cómo el acceso a esa información estaba cortado esa misma jornada.
...ya quisieran las empresas "serias" portarse con esta profesionalidad cuando alguien les avisa de un agujero.
Tener el boletín de cambio listo antes del martes, con toda la documentación anexa, ir al comité de los jueves, y no poder ejecutarlo hasta antes de las 15h de ese mismo jueves.
Al final lo hago todo como si fuese una ninja. A menos que el cambio corte un servicio gordo mucho tiempo prefiero pedir perdón que permiso.