EDICIóN GENERAL
377 meneos
1356 clics
Movistar: el script para minar criptomonedas procedía de una versión de prueba subida "por error"

Movistar: el script para minar criptomonedas procedía de una versión de prueba subida "por error"

En la web de Movistar había un código utilizado para sacar provecho de los visitantes sin que se dieran cuenta. Movistar acaba de confirmar que el origen de este script no venía de ningún ataque informático, sino de una versión de prueba que había realizado para evitar, precisamente, que terceros puedan llevar a cabo estas acciones. La versión con el script "por error, se subió a producción sin haber eliminado previamente este tipo de código". Relacionada: www.meneame.net/story/web-movistar-hace-mineria-criptomonedas-visitant

| etiquetas: movistar , minado , script , criptomonedas
Comentarios destacados:                      
#1 Se dejaron el código olvidado bajo un ridículo gorrito de lana.
Se dejaron el código olvidado bajo un ridículo gorrito de lana.
#1 Ha sido a través del Google Tag Manager: twitter.com/bad_packets/status/946665579405963264

Pinta más de que google se la ha tragado otra vez más o de la agencia encargada de gestionarlo.

Aprovecho para adjuntar imagen sustituyendo el gorrito de lana :troll:  media
#1 no podia ser otro imbecil el que se lo dejase por “error”
Uy, que error más tonto.
#3 Y les han pillao con el carrito del helao.
#3 no es viable minar bitcoins con la cpu a dia de hoy, y menos aún en JavaScript en el navegador.
Lo que minan es monero, una moneda diseñada para ser resistente a ASIC.
#50 es muy viable si tienes 100000 visitantes diarios.
#55 no, no lo es. Creo que no sabes de lo que hablas...

Un Core i3 puede minar unos 8 mega hashes por segundo. Si el algoritmo se ejecutase en un navegador, supongamos una reducción de 8 veces (siendo muy generosos, puesto que muchos visitantes usan móviles etc, pero bueno). Eso nos da que un visitante puede darnos de forma optimista 1Mega hash cada segundo.

Un Antminer S9 (hardware especializado con el que se mina Bitcoin) mina a un ritmo de 14 Tera hashes por segundo. Es decir... Cada…   » ver todo el comentario
#62 casi todo cierto, salvo alguna cosa xD

> Teniendo en cuenta que solo tienes 10 minutos para hacerlo hasta que el puzzle cambia y tienes que empezar de 0... Mal plan.

Aunque el puzzle cambie, tus probabilidades de encontrar un hash son exactamente las mismas dado que los hashes no tienen "recuerdo". El minado no se "empieza de cero".
#65

Toda la razón del mundo, era un caso obvio de Falacia del jugador:

en.wikipedia.org/wiki/Gambler's_fallacy <- para los que no la conozcan

Gracias por el apunte!

DIcho esto, en este caso hay otros factores que entran en juego (sin restar ni un ápice de razón a tu apunte). El hecho de que vayas tan lento hace que continuamente estés minando sobre bloques pasados, y eso es tiempo que pierdes. Además sucede también que la dificultad va a ir creciendo, por lo que es una carrera…   » ver todo el comentario
#68

> que vayas tan lento hace que continuamente estés minando sobre bloques pasados, y eso es tiempo que pierdes

No veo por qué estás minando sobre bloques pasados. En dejar de minar el bloque actual y minar uno nuevo se tarda literalmente lo que tarda en llegarte el bloque minado para poder incluirlo como bloque padre de tu nuevo bloque.

Si el script de minado es capaz de actualizar de alguna forma las transacciones sin confirmar y los bloques (ya sea por el mismo canal por el que…   » ver todo el comentario
#71 ya no me da tiempo a editar. No son tantos leuros, que estaba contando con los 50BTC que eran inicialmente. Son "solo" 151534€.
#71 es mucho mas rentable en estos casos minar monero. Es realista y te llevarias mucho dinero asegurado poniendolo en movistar.es.

Conozco bastante gente que se dedica a minar monero con recursos ajenos (sigo relacionado con el mundillo de la seguridad) y ganan mucho dinero.

Sobre los bloques viejos, claro, te comes todo el tiempo que tarda en llegarte el nuevo bloque, el cual no es 0. Y teniendo en cuenta que cada 10 minutos hay bloque nuevo y tu vas a tardar milenios, si tarda en llegarte…   » ver todo el comentario
#62 La cuestión es que estos miners no minan bitcoin sino monero. Actualmente thepiratebay tiene un beneficio de miles de dólares, aunque cabe decir que tienen más de 300M de visitas mensuales.
#87 te has leído el hilo? xD todo el hilo de discusión en el que me estás contestando, empieza por qué yo mismo he dicho exactamente eso... Go to #50
#89 Ups! Pues... Estamos diciendo lo mismo :shit: xD
#62 yo estoy minando monero en una pool con un i5 5350U, y me saco 5 eurillos al mes. Si logras mantener de media unos 10 usuarios con un procesador como ese, que no es ninguna maravilla, y encima no pagas la luz... Dónde ves que no salga rentable? Ojo, no estoy hablando del impacto que pueda tener en los usuarios de tu web, si no de rentabilidad. Incluir 6 líneas de JS y generar, aunque sea, 30€ al mes... A mí me parece rentable, porque 30 > 0, y no pagas la luz. BTC, no, eso es cierto, pero poca gente mina ya BTC sin una bestia con 3 o 4 GPUs en paralelo. Monero (y otras más) es otra historia.
Ajá, y vamos y nos lo creemos...
El clásico código que metes para crear un pedido y se te cuela lo de minar bitcoins.
Ay , Chemita...quien te ha visto y quien te ve....
Realmente yo me lo creo, eso pasa por contratar becarios... xD
Quein al día de hoy no tiene un demonio de prueba criptamonedas que sin querer ha copiado a produciión eh?
Pues esto nos demuestra el pésimo control de calidad del que disponen.

Me recuerda a cuando hicimos en el instituto un trabajo sobre Antonio Machado y poníamos Manchado por hacer la gracia. Al final se nos coló en la versión final.
#12 Guau, ¿podrías hacer un Pregúntame?
:troll:
Supongo que devolverán lo minado a sus clientes, no seáis malpensados
#13 ¿Cuánto devolverán a cada cliente? ¿0,0000000001 bitcoins? :troll:
Dice la noticia que la prueba era para evitar que terceros puedan llevar a cabo esas acciones.

Que es el mismo motivo por el que alguien cagaría sobre la tapa del inodoro en un aseo público,
#14 Es cierto que en materia de seguridad, primero hay que saber hackear o atacar para saber defenderse, pero veo muy forzado el argumento.

Salu2
#14 jajajajajajaja con referencias escatológicas todo se entiende mejor.
#14 llámame loco pero los que se dedican a seguridad informática trabajan así, la mejor forma de saber si una app, un sistema o una red tienen algún fallo es intentar atacarlos tu mismo.

La referencia escatológica no tiene sentido en el ámbito de la informática.
#51 Ejem, uno no prueba su propio software sobre código susceptible de ser añadido al código destinado a producción. Haces una copia y pruebas ahí.
#76 Ya, pero tampoco creo que Telefónica pague tan bien a sus becarios como para hacer eso, yo programo cosillas (web) por hobby y hago pruebas sobre el código de producción directamente jajaja aunque claro, es un hobby y si la web se cae 5 minutos por un código mal escrito no pasa nada. Dudo mucho que hayan puesto adrede ese código de minar, que por cierto en muchas listas de ublock ya lleva bloqueado al menos desde verano.
Yo voto por algo más del estilo de 'Menuda resaca, tu', 'No hay cojones de meter el script del bitcoin en la página principal' 'Buah, que no? Agarrame la birra, shurl' entre los developers de la página.
Debo de ser el único informático de España al que ésta me parece la típica ñapa del año, pero que ocurre, porque somos humanos. Les creo porque yo mismo también he subido ñapas a producción, que escapan a los controles de calidad (tests) incorporados.

Ya me gustaría saber los puestos y sueldos de todos los sabios informáticos que furulan por mnm. El 90% estará en Sillicon Valley cobrando 6 dígitos, no?
#16 No, yo también creo que ha sido un error. Habrán puesto el código en la página y luego alguna ñapa en los servidores web para evitar esa ejecución o algo así y sin querer han subido la versión que no tenían que subir. Son fallos humanos, que cometemos todos.

La pena es que alguno en Navidad estará sin trabajo, e imagino que será algún subcontratado y no ningún jefe de servicio.

El que piense que movistar ha hecho esto para sacar dinero, es un paleto de cojones.
#20 te compenso el negativo que te ha cascado alguno de esos paletos.

Telefónica ha ganado (beneficios!!!) 2.400.000.000€ En el 2016, se van a enmarronar minando criptomonedas en I web?

okdiario.com/economia/2017/02/23/telefonica-triplica-ganancias-2016-lo

O bien ha sido realmente un error (probando sistemas anti este tipo de ataques, que lo dudo) o alguien de la cadena de producción de la web se ha pasado de listo, y los controles han fallado.
#34 Muchas gracias, pero el karma me da un poco igual, hay gente verdaderamente preocupada por él. Yo entro muchas veces al día a meneame para leer noticias y rara es la vez que me logueo para comentar.

Repito que el que crea que esto es intencionado por parte de Telefónica, es un magufo de cojones. Gracias por aportar el dato de lo que ha ingresado Telefónica por este año.

Lo más triste es leer muchos comentarios de gente que habla como si supiera y no saben lo fácil que es identificar que…   » ver todo el comentario
#36 yo no soy informático, pero tengo dos dedos de frente y ni el diablo mismo se enmarrona por esas cifras ridículas que podría aportar el minado de bitcoins en su web.
Si quieren ganar más, comprar un par de voluntad políticas por cuatro duros y listo, impuesto especial, subida de precios, eliminación de la competencia, o lo que deseen...
#38 ea, pues no tienes más que leer los comentarios. Y luego mencionando a Chema Alonso , qué culpa tendrá él?

La peña se mea fuera del tiesto. Me alegro de haberte leído, has sido uno de los pocos comentarios gratos que he visto por aquí.
#39 Con ese gorro, Chema se merece cualquier cachondeo posible, sea justo o no... :-P
#20 Es tan absurdo como meter un bazooka en un aeropuerto "por error".
Ese código no se generó por sí mismo porque alguien se apoyara en el teclado y se escribieran casualmente todas las palabras necesarias para ejecutarlo, el que se crea algo así es un paleto de cojones.
#44 Informático? xD Te están diciendo que metieron eso ( imagino que en desarrollo ) para hacer la manera de evitar que funcione.

Meto el script, intento hacer que no funcione con varias formas, y cuando creo que ya lo he conseguido, lo subo a pro.

Pero claro, sois unos simples que creo que no trabajáis en algo así, y sin saber cómo funcionan estas cosas hacéis conjeturas y lanzáis críticas.
#77 ¿Para evitar que funcione? ¿Cómo que lo metieron para evitar que funcione? ¿Llevas una granada en el bolsillo para evitar que estalle? Si no quisieran que funcione no lo pondrían en primer lugar.
#79 Ves? a esto me refiero. No sé si eres troll o sólo idiota. Espero que troll. Te lo explico por si no es así.

Hay un problema con según que servidores webs que están expuestos en internet. Y es eso, que están expuestos. Como si estuvieras en la guerra, pero no hay humo ni fogonazos, ni ruido. Es un día cualquiera en un cpd cualquiera. Y la gente te ataca, por motivos políticos, o por diversión, o por ego... pero te ataca.

Y uno de esos posibles ataques es que metan un código java script…   » ver todo el comentario
#81 Me parece verosímil lo que dices, pero como despiste es bastante gordo. Y en todo caso no les quita la responsabilidad por lo que han hecho.
#83 eso es lo que tienen los errores, que hay que asumirlos. Y más cuando tocas en una empresa tan gorda como Telefónica, con impacto a nivel mundial.

Pero errar es de humano, y te aseguro que ese no vuelve a cagarla con las versiones de nada, a partir de ahora.
#16 les creemos que ha sido subida por error. ¿Meten un script para minar para no hacerlo? Y si es la prueba de un becario o alguien haciendo pruebas o inexperto ¿que hace pudiendo subir ese codigo a producción? ¿quien le da acceso?
No hay por donde cogerlo.
#24 me huelo que durante el desarrollo metieron el script de minado, hicieron un git add, pero no un git remove después, simplemente lo borraron. Luego el jefe de producto hace el merge, push origin master y ... voila.

Error humano, comprensible y jodido de detectar.
#33 Que si, que puede ser un error, pero sigue sin explicar por que metieron ese código. Tendría mas sentido que se les colase el tipico meme, videos porno, hello world o penes de los que pones en desarrollo en coña.
Un script para minar tiene una intención concreta, lo mismo si fuese malware y sucedaneos.
A lo que voy es que se puso con intención, para pruebas por curiosidad lo haces con cualquier web guarra en un servidor de desarrollo.
#33 pues deberían haber hecho un git branch (git checkout -b), y probar en una rama que no se mergeara con máster/release. O, si no, siendo telefónica, al menos un poco de peer review. En cualquier caso, parece más lo que comentan arriba de google tag.
#16

Hay dos posibilidades:
- Les han hackeado . Es posible, pero poco probable.
- Algún desarrollador estaba sacándose un extra minando con los recursos de la empresa (pasa y me han contado un caso hace poco) y ese script se ha “deslizado “ a producción.

Creo que es un claro caso de ÑaaS (Ñapa a a Service)
Pues la idea me paree cojonuda, sobretodo si te mandan hacer prácticas en Movistar :troll:
ahora que miren si tambien estan minando con algun codigo embutido en los routers de los clientes, por si acaso haya sido un error en una actualizacion del firmware de "prueba"
#19 es su router y se lo follan como quieren....Ahi si que no deberia haber problema
#21 y la luz la pagas tu?
#37 La luz siempre la has pagado tu, o acaso el router lo tienes sin enchufar?

Es como si te monitorizan los equipos de alguna forma para comprobar la calidad de conexion o para hacer revisiones de los fallos de los equipos
#19 pues no creo que por 100€ y con los routers de mierda que dan o daban (al menos el que me dieron a mí es bastante mierdero) se pueda minar mucho, seguramente se minaría mas con la CPU de tu móvil. Y no, no están haciendo que tus pc de casa se descarguen un binario para minar al conectarte a tu router, suena bastante absurdo
#57 y si fuera asi? uno se espera cualquier cosa de robastar
La explicación es impresionante, simplemente impresionante!! xD
Y cual es el problema de que el pc mine mientras navegas? el 99% de la población usa ordenadores supersobredimensionados, con tal de que la web lo avise, y que sea un % pequeño, si con eso me quitan la publicidad de las webs, a mi me vale.


Otra cosa es que no avisen.
#26 Y cual es el problema de que el pc mine mientras navegas?

Pues que la electricidad consumida la pagas tú.
#40 #43 #45 y ninguno se lo ha leido todo.

Las webs hay que pagarlas, el acceso al contenido hay que pagarlo, hasta ahora se hace con popups, ventanas emergentes, banners, ruidos molestos, etc.

Si quitan eso y a cambio usan el 10% de mis ciclos no usados de micro, adelante.

El consumo no se dispara, yo tengo varios equipos minando, la diferencia entre usar el 4% y el 15% es irrisorio y despreciable.

En cuanto al ejemplo del taxi, te has dejado la parte en la que dejas de tener anuncios, a cambio de minar (es decir, tu al taxista le dejas tu coche cuando no lo usas, pero a cambio el después te paga de algún modo, o te da un bono para que las carreras te salgan gratis a ti cuando las uses
#47 La parte en la que yo cobro me la he perdido. ¿Dónde dices que tengo que poner mi número de cuenta?
La web de Movistar no debería tener anuncios ni popups. Si Movistar no puede pagar su web que no la tenga.
Yo gestiono un negocio online y no ponemos publi, porque ni los anunciantes ni los visitantes tienen que pagarnos por tener una tienda, es parte de los costes de tener un negocio.
No defiendo la publicidad ni los popups, en mi opinión sólo sirven para degradar la calidad de la web e indirectamente del contenido, pero ejecutar código en los dispositivos de los visitantes para sacar dinero a costa del rendimiento es pura piratería, ni avisando se salvan. Espero que les caiga un buen paquete.
#48 está visto que no tenemos el mismo punto de vista. No nos vamos a poner de acuerdo, solo te diré que hubo quien se opuso al streaming, o a la música en mp3, y claramente han perdido.

Que la parte donde tu cobras te la has perdido? no todo es recibir dinero, TODAS las webs tienen un mantenimiento, y el 90% usan anuncios para mantenerse. Si lo quieres aceptar, guay, sino, pues a tu bola

Si alguien pone una web de... recetas, y pone banners, molestan, pero es una forma de "…   » ver todo el comentario
#54 movistar no debe o debería vivir de anuncios. Menéame, siendo gratis, si. La página de donde se baja las pelis el hijo de la vecina también, incluso el foro que visita el carnicero sobre cortes de carne milimétricos. Telefónica, Netflix o la Agencia Tributaria NO.
#61 #60 si, si teneis razón, Movistar en si, no, pero ya van varias entradas en meneame con lo mismo, que si mejortorrent, que si plusdede, que si bolsamanía, y ahora esto.

De todos modos, por lo visto Movistar no fué algo adrede sino alguna prueba.
#64 Aun asi deberían advertir claramente que van a utilizar este tipo de scripts, de igual manera que están obligados a hacerlo cuando usan cookies. Luego el usuario es libre de ver si le interesa o no seguir viendo la página sabiendo esto.
#73 correcto, por eso digo en mi primer mensaje "avisandolo" y si es necesario, pudiendo desactivarlo, mostrando banners en su lugar.
#54 Estamos hablando de una de las compañias más grandes de España y encima se dedica precisamente a las telecomunicaciones. Como dice #48 no tiene ningún sentido que intente meter publicidad ajena o scripts en su web corporativa.

No se trata de un blog o alguién que ofrezca un servicio gratuito y tenga que recurrir a banners o scripts de este tipo para costearse el hosting o para ganar algun dinero.
#54 Mi procesador es mío y no tiene que haber nadie aprovechándose de él. Un 10% puede parecer poco. Pero ¿Y si tengo abiertas cinco pestañas? ¿Y si además del navegador estoy usando el excel?
De acuerdo en que los PCS están sobredimensionados, ¿Y qué? Es mi Pc sobredimensionado, e igual quiero despreocuparme de controlar los procesos y dejarme siete programas abiertos que para eso tengo un i7 ¿Acaso el cartero te quita la comida del plato porque a la mayoría de la gente le sobra?
Y sí, me jode…   » ver todo el comentario
#82 y te has dejado los anuncios de la tele que tb molesta que te corten la peli....

Tú eres mi tonto no? No te das cuenta de que todo lo que compras y todo a lo que accedes tiene ese precio porque anda por ahí la publicidad?

"Y si tengo 5 pestañas y el Excel" tengo que reconocer que me has hecho reir, pues mira yo es que no tengo la costumbre de acumular pestañas abro una, la uso y cierro, igual tienes que cambiar tus malos hábitos y empezar a usar el ordenador como se debe.…   » ver todo el comentario
#26 La durabilidad del hardware se resiente con el minado. El consumo se dispara y lo pagas tú en tu factura.
Además al dueño de la web le importa un pimiento si estoy usando o no el 100% de mi ordenador. Por último, está compitiendo deslealmente con los mineros profesionales que pagan por su hardware y su factura eléctrica, incrementando la dificultad de minado y a la larga volviendo inútil el minado "legal".
Imagínate que un taxista robara tu coche por las noches, lo usara para trabajar (con sus correspondientes kilómetros de desgaste) y lo aparcara donde lo dejaste porque total, no lo estás usando el 100% del tiempo.
#26 los scripts que han salido hasta ahora usan el 100% de la cpu, da igual tengas un c2d o un ryzen de 8 cores con hyperthreading y te hacen la maquina practicamente imposible de usar, precisamente por eso se da cuenta la gente, si usasen un 10% pues pasaria mas desapercibido.
Veo a que habéis mentado al tonto del gorrito y me voy con mis bártulos a otra parte.
Otra cagada de su experto en seguridad que lo unicomque sabe hacer es gilipolleces en el hormiguero
De Timofónica no te puedes fiar. Trabajé para ellos una temporada y flipas la de estafas, chanchullos, abusos e incluso chantajes que se gastan con trabajadores y clientes.
No doy detalles porque estoy aquí con mi nombre y apellidos, pero le podéis preguntar a cualquiera que haya trabajado con ellos o utilizado sus servicios.
#29 Doy fe. Externo estuve en I+D. Los currantes gente maja, pero los dinosaurios aburguesados....
No era un atraco señoría, era un experimento sociológico sobre la reacción popular a la navaja trapera.
Todo ha sido un error e incluso el código se ha escrito y subido solo xD
Jajaja pobre becario.
Que revisen la web de Marca por que las veces que he entrado me ralentiza el navegador.
Y si cuela, pues a ganar dinerito...
Igual un día viene el técnico a cambiar el router y lo deja, por error, acompañado de una torre con 4 atis en crossfire de esas sin salida de video.
En mi curro cuando hay un cargo erróneo en la tarjeta de un cliente siempre se le da la culpa al fallo informático...
#63 Un clásico.
uBlock Origin lo bloquea por defecto.
Es que se dedican a las telecomunicaciones. Comprendámosles.
y Yo voy y me lo creo... los putos mafiosos de Movistar/Telefónica quieren sacarnos al pasta y ya no saben ni como, lo de que nos tomen por tontos ya viene de largo
Pues anda que no hay servidores de tests, preproducción, desarrollo donde probar juguetitos sin que tenga que ser en la misma web que visitan los clientes ... :roll:
Interesante, tal vez estudiaran como hacerlo sin que se notara.
Esta gente se cree que somos retrasados. Bueno, viendo los comentarios alguno hay q se le ha tragado. Deben votar a ciudadanos.
comentarios cerrados

menéame