EDICIóN GENERAL
49 meneos
608 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear

El hackeo de Digital Research Team era mentira: era información pública

Ayer recogíamos una noticia sobre una cuenta de Twitter de un grupo llamado Digital Research Team que afirmaba haber hackeado a universidades e instituciones públicas de España. Nada más lejos de la realidad, al parecer toda la información estaba ya disponible en Internet, abriendo un debate todavía más serio. Relacionada: www.meneame.net/m/actualidad/ciudadanos-quiere-saber-unos-hackers-han-

| etiquetas: hackeo , digital research team , falso , información , pública
Rel: www.meneame.net/story/piratas-informaticos-aseguran-haber-atacado-cuen

La "noticia" era una chufa a nivel técnico y estaba llena de imprecisiones, como un corta y pega, la verdad es que a poco que leias cantaba que algo no cuadraba.

Aquí quizá me gustaria aprovechar para hablar de algo mas serio, no es la primera vez que pasa, tambien vemos cada x tiempo "descubierta inseguridad chipiflautica en X" "robo masivo de credenciales en Y"…   » ver todo el comentario
#2 No se meu, yo antes tambien me interesaba mas por el mundillo, amos era un flipader de la @arroba y andar haciendo el gamba por islatortuga, luego pues si conferencias de la Defcon, pero hace bastante que no sigo regularmente las diferentes "scene" y solo de cuando en cuando pues me miro algo, pero a lo que voy es que asi como joder pues en medicina supongo que si quieres mirarte algo medianamente en serio te vas a lo que dice la Organizacion Mundial de la Salud o yo que coño se,…   » ver todo el comentario
#3 ¿No sirven estos:?

www.ccn-cert.cni.es/
www.incibe.es/

PD: Pregunto desde la perspectiva del absolutamente ajeno a la informática, aclaro.
#7 Desde el punto de vista del que es simplemente aficcionado al tema pero curra en tareas relacionadas de refilon:

El instituto nacional de ciberseguridad es bastante chiste, amos nivel bajo o muy bajo y el CNN-CERT si bien sus certificaciones de seguridad tienen bastante nombre, y se supone que puedes reportar incidentes, no se ocupa de una labor divulgativa, no alerta, no explica y no se ocupa de nada hasta que algo haya pasado.
Así, no es necesario tener conocimientos técnicos para encontrar estos datos, siendo sólo necesario conocer cómo funciona Google.

Me recuerda a un caso de hackeo que denunció una ministra, aquí en España porque un periodista había publicado una encuesta antes que el gobierno. El periodista publicó en su blog el sofisticado método de hackeo que consistió en coger la URL de la última encuesta, que era del tipo htps://dominio.com/docs/00032.pdf, y poner en su navegador htps://dominio.com/docs/00033.pdf, et voilà, encuesta descargada. Por lo visto alguien colgó el fichero y creyó que sin publicar la URL en la web no era accesible
#5 Cosa que por lo menos en españa los jueces lo pueden considerar hackeo, ha habido gente imputada por acceder a información sensible usando métodos tan simples como el que comentas.
#10 No lo sabía. La verdad es que no recuerdo en qué quedó la cosa con el periodista. Me parece muy grave que se empure a gente por acceder a información que quien la colgó no se ha preocupado de proteger. Una cosa es aprovechar un fallo de seguridad para obtener la información, pero acceder a un link, esté enlazado o no desde una web, es el funcionamiento básico de internet que todo usuario debería conocer. Al final están imputando a gente por la ignorancia de quien la ha colgado, porque ¿cómo va a saber un usuario que la información no es pública si el enlace está accesible a todo el mundo?
Remetía tuis', 'box con los tuises', sofpaper. De todo

Se nota que no es un medio tradicional. Ellos nunca hubieran rectificado y menos asi.
Es normal que un portal como este no contraste noticias y lo que se espera es que rectifique como lo ha hecho. Bien hecho
Para que hagais vuestras propias pruebas con este tipo de "hackeos": www.exploit-db.com/google-hacking-database
A ver... A eso se le llama "search engine hacking" o "google hacking".

Vale que está a años luz de vulnerabilidades que permiten acceso y control absoluto de servidores afectados, pero no por ello dejan de ser vulnerabilidades si consiguen sacar datos que no deberían ser públicos.

Para colmo, si esos datos se han obtenido sin mucho problema alguien debería revisarse la LSSI antes de que le caiga un puro por no proteger datos personales minimamente.
En varios medios que hablaban del tema recuerdo que en uno mostraban capturas de la información obtenida, y en las referentes al IB-Salut (Servicio de Salud de las Islas Baleares) lo que enseñaban era la típica tabla de puntuación o méritos que se publican cuando hacen una selección de personal y que era accesible desde su página web, así como que van colgando en diferentes tablones de anuncios.

Otra cosa es, como dice el artículo, que quizás sea necesario evaluar qué información se publica por internet para esos menesteres y cómo se hace.
comentarios cerrados

menéame