Portada
mis comunidades
otras secciones
#4:
Bah, saldrá un juez diciendo que es un error de programación tan burdo que no puede engañar a nadie y que por ello la denuncia es desestimada y a otra cosa.
#1:
Telemadrid entrega a la Policía las pruebas del error de seguridad de Sanidad que expuso datos privados del rey y que las comunicaciones oficiales de la Comunidad de Madrid afirman que es mentira.
#3:
Van a hacer un ridículo espantoso (la CM).
Hay bastante gente que denunció el fallo y que tiene pruebas de sobra del fallo y de cómo se explotaba. Me consta que incluso hay una denuncia en la AEPD
Hay bastante gente que denunció el fallo y que tiene pruebas de sobra del fallo y de cómo se explotaba. Me consta que incluso hay una denuncia en la AEPD
#8:
#6 Me refiero a que a la Comunidad de Madrid se la pela le da igual una violación del RGPD o una denuncia ante la AEPD. Para la CdM no va a tener consecuencia alguna.
Ayuso se montó un despacho en un apartamento de lujo con oscuros intereses con el propietario, por una violación del RGPD no levanta ni una ceja
Ayuso se montó un despacho en un apartamento de lujo con oscuros intereses con el propietario, por una violación del RGPD no levanta ni una ceja
Comentarios
Bah, saldrá un juez diciendo que es un error de programación tan burdo que no puede engañar a nadie y que por ello la denuncia es desestimada y a otra cosa.
#4 nono, condenarán a Telemadrid por hackear a la consejería de sanidad!
#17 Ya han destituido a toda la directiva de Telemadrid.
Igual es por esto.
#4
#4 O peor aún, a todos los que aporten pruebas los acusaran de hackers y para la cárcel.
#8 Añadiría más, si dejaron morir a los ancianos en las residencias sin atención médica y no les afectó en nada, incluso llegando a lograr mayoría absoluta en las elecciones, esto son minucias.
#5 Que no haya sanción no significa que no haya incumplimiento y pruebas del mismo.
Aquí el problema es que ante un error garrafal, en lugar de agachar las orejas y decir "la hemos cagado", han salido con "es un bulo, no hay ningún error" y claro... van a hacer el ridículo.
#6 Me refiero a que a la Comunidad de Madrid
se la pelale da igual una violación del RGPD o una denuncia ante la AEPD. Para la CdM no va a tener consecuencia alguna.Ayuso se montó un despacho en un apartamento de lujo con oscuros intereses con el propietario, por una violación del RGPD no levanta ni una ceja
#8 si, si. Si estamos de acuerdo que no va a haber consecuencias, que no se sonrojan, pero bueno, es otra más para la hemeroteca
Telemadrid entrega a la Policía las pruebas del error de seguridad de Sanidad que expuso datos privados del rey y que las comunicaciones oficiales de la Comunidad de Madrid afirman que es mentira.
#1 Por eso lo he compartido. Si unos dicen que es bulo, otros que no y unos terceros que solo una parte no es verdad, no sé hasta qué punto lo llevarías a la Policía.
#2 Hombre, depende de quien levantó la liebre y como lo hayan documentado. Si ha sido un hacker ético que ha grabado el proceso y se ha preocupado de recopilar y mostrar cosas necesarias para confirmar que la maquina que responde es la que debe ser (certificados ssl, etc), no solo seria una prueba solida sino que ademas estarían obligados en cierta forma a denunciarlo para que la agencia de protección de datos peine con raya a quien corresponda. Si ha sido un antiguo coleccionista de PC Actual cuñao de algún redactor, lo mismo no tienen validez ninguna y te lo tira por tierra cualquier perito.
#11 ¿Protección de datos en la Comunidad de Madrid? ¿Ya no la dirige Abascal?
#11 Un perito informático y ya
#1 Las comunicaciones oficiales dicen que es mentira y a la vez que fue una brecha de seguridad generada por una actualización en un enlace no público (como si importaran esos detalles a la hora de ver si es cierto o falso que se han filtrado datos personales) .
#14 "brecha de seguridad generada por una actualización en un enlace no público"
Vamos que al modificar la URL, que es cosa de juaquers y no venía en el manual de instrucciones, se produjo la brecha de seguridad.
Ya veremos si no acabará alguno en la cárcel por esta noticia.
Cierto artículo del CP hace delito el hacking ético si no hay consentimientos del dueño de la aplicación.
Formas de denunciar hay muchas, CCNI, AEPD, juzgado, etc.
#23 cierto pueden empapelar al hacker.
En cualquier caso, se ha escudado en un periodista. El INCIBE vela por la seguridad de las AAPP y si conoces a alguien allí y le notificas algo así, ellos te cubren para que no te comas una demanda si no hiciste nada incorrecto (rollo volcar todos los dnis y no sólo unos pocos para validar que el sistema falla).
#35 No exactamente el INCIBE vela por la seguridad de los privados el CCN-CNI por la de las AAPP
#23 Yo he tenido que administrar los equipos informáticos de un servicio médico privado que atiende a niños. Ese tipos de servicios están sujetos al máximo grado de protección de datos, tanto por tratarse de niños como por tratarse de enfermos. Las auditorías de seguridad que tienes que pasar son BESTIAS, los informes que tienes que presentar a la AEPD son exhaustivos. Y las multas que te pueden meter si hay una filtración es de hasta 600.000€. Vamos, hasta el punto de informar a la AEPD de incluso el cese de actividad de trabajdores con acceso a esos datos, a pesar de que firman acuerdos de confidencialidad, informando de que han declarado por escrito que no han extraído datos y certificando ante la AEPD que ya no tienen acceso a los mismos, para que quede constancia por si acaso…
Y difícilmente una inyección SQL se puede considerar "hacking", cuando es modificar una URL. Lo que es increíble es que Indra haya publicado (puesto en acceso público) una página con semejante fallo, viejísimo, conocidísimo y que ya se sabe cómo solucionar desde hace mucho (encriptando las URL, por ejemplo, la parte de datos).
#56 Para los señores togados lo que importa no es la dificultad técnica, si no que obtuviste algo que no te dieron.
Entrar en las tripas de un sistema informático sin permiso expreso (por consentimiento o imperativo legal) está penado.
Si un ladrón entre en una casa con la puerta abierta y se lleva algo de valor, hay delito, aunque haya aprovechado un descuido del dueño.
#58 No, si eso lo entiendo, pero resulta que yo tenía contratado un sistema de seguridad "impenetrable", que me avisaba incluso de cuando me dejo una puerta abierta, y no ha funcionado, así que me imagino que a la empresa responsable de ese sistema de seguridad TAMBIÉN se le pueden buscar las cosquillas. Y el seguro me puede decir que mi seguro partía de la premisa de que mis bienes estaban protegidos, si el sistema de seguridad tiene un fallo, ellos no cubren nada, que vaya a pedir cuentas a los otros.
Y si resulta que en vez de mi casa, es una empresa en la que yo soy el responsable de seguridad, es posible que, incluso siendo fallo de la empresa del sistema de alarma, me cueste el trabajo, porque yo soy el responsable último.
Por cierto, ¿no sería un poco tonto por mi parte llamar mentiroso a quien informa de ese "robo con la puerta abierta", siendo que incluso la propia empresa de seguridad ha reconocido que su sistema "impenetrable" ha fallado?:
#60 Una vez se produce un fallo, pues hay carreras para alejarse del marrón y traspasar la responsabilidad.
Más que caer algún responsable, culparán al último mono.
#62 Sí, es como funciona la política
de mierdade este país…#64 Y en la empresa privada
Trabajar a la defensiva no es plato de buen gusto.
#1 los mismos que dijeron que en el fallo publicado por eldiario.es no había habido fuga de datos...
#1 Lamentablemente los Ayusos ya han hecho su trabajo: conseguir que la borregada que les vota vea Telemadrid como parte de la conspiración para "romper España" y que desechen (con más fervor si cabe) cualquier información negativa sobre la Comunidad de Madrid.
Obviamente, para la gente que es capaz de leer una oración subordinada sin cagarse encima esto es una nueva muestra de las repugnantes tácticas de desinformación de la organización criminal más conocida como Partido Popular. Pero esa gente no es el nicho de mercado del PP.
Van a hacer un ridículo espantoso (la CM).
Hay bastante gente que denunció el fallo y que tiene pruebas de sobra del fallo y de cómo se explotaba. Me consta que incluso hay una denuncia en la AEPD
#3 Me consta que incluso hay una denuncia en la AEPD
Creo recordar que en España no hay sanción si una administración pública viola el RGPD. Tampoco tendría mucho sentido que la administración se multara a sí misma.
#5 Que yo sepa, en varias ocasiones la administración ha impuesto multas a diferentes organismos públicos. Por ejemplo, la junta multó a mi pueblo por no tener depuradora de aguas residuales y fue un pico.
#7 Me refiero a protección de datos, en otros temas ya no sé.
#5 Te apuesto un cubata a que esa pagina no la ha hecho un funcionario de la administración, sino que es una contratación a dedo a una empresa de alguien afín al partido. Ojo cuidao, que a estos contratistas no les protege nadie de nada...
#15 en varias fuentes pone que todo ese tema lo ha hecho Indra
#20 Estaba tardando en salir ese nombre.
#20 Bueeeeno, pues me he ahorrado pagar un cubata, por lo que parece...
#20 INDRA es de lo peor, en algún proyecto he trabajado con ellos y a nivel de telecomunicaciones son un desastre.
#20 Uy qué susto, había leído Inda...
#15
La pudo haber hecho quien quiera, pero la responsabilidad de la seguridad de los datos es del "dueño" de los mismos, en este caso, la Sanidad de la CAM.
Salvo que que pueda demostrar que quien hizo la app ha metido una vulnerabilidad intencionadamente, como mucho podrá sancionarle con lo que ponga en el contrato. Pero la responsabilidad ante la ley es de la Administración.
#32 Depende. Si es On Premise (esta corriendo y mantenida por gente de la Comunidad de Madrid), si. Pero si es Software as a Service, esta corriendo en servidores del proveedor y el marrón es enterito para el proveedor... y por lo general, cuando esta gente quiere darle un contrato a alguien afin para que pille 25 años de mantenimiento, lo contratan as a service (casualmente, al hacerlo asi el siguiente gobierno tiene cero control sobre la información del sistema, la operativa o cualquier cosa que permita demostrar si se ha estado funcionando correctamente).
#39
No, eso que dices cuela para infantas o altos cargos del PP, pero para empresas y temas de datos, no cuela. Tú eres el dueño de los datos y responsable de que estén protegidos.
Esto es como Hacienda, puedes tener un asesor que te lleve las cuentas, pero como estén mal, la multa la pagas tú como responsable último, no el asesor. Tú luego podrás despedir al asesor, penalizarle en lo que le pagas, etc ... pero es cosa tuya. Seguro que aquí hay más de un autónomo o empresario que te lo puede atestiguar.
#32 #53 Que no, que no va así. Si es un software as a service, tu como empresa eres cliente de otra empresa, el archivo de datos está a nombre de la otra empresa, y si la cagan la caga la otra empresa. A ti no te puede meter un puerro la Seguridad Social si tu asesor no le paga las cotizaciones a la secretaria que te hace las nominas, no es tu trabajadora. Pues esto igual.
#5 no deja de ser llamativo tanta condescendencia con la administración y tanta vehemencia con las empresas.
#5 Los afectados sí que podrían denunciar a la administración.
#3 Las pruebas están en la Wayback Machine, con los datos del rey y de alguna otra persona, lo he comprobado, sólo hay que saber cómo buscarlo.
Vaya hombre, con lo clarito que tenían ayer muchos que era una venganza de TeleMadrid para echar mierda a Ayuso porque quería acabar con la parcialidad de ese medio.
Seguro que están cogiendo ahora mismo las antorchas para echarle en cara al gobierno de la CAM que les mintiese para ocultar la cagada. Segurísimo.
#19
He votado negativo por error (o dedos torpes) Lo siento.
#33 No pasa nada.
Es un error taaan básico.
Esa web no ha pasado ni la más mínima auditoría de seguridad
#47 Toda la razón del mundo con tu comentario.
El problema ha sido ese: que la tecnológica responsable del proyecto NO ha pasado ninguna auditoría de seguridad, que incluso estará especificada en las condiciones del pliego, por tanto especificada en las cláusulas de un contrato público. Pero aquí la gente ya politizando sin sentido con que es culpa del PP de Ayuso, sobres y demás tonterías que suenan a lo mismo.
#54 No, la responsable del fallo en la web no es Ayuso, la responsabilidad es del desarrollador, Indra. De lo que sí es responsable Ayuso es de mentir:
#59 Es lo que yo afirmo con mi comentario: la responsable, Indra, que, vuelvo a repetir, no habrá gestionado una auditoría de seguridad, quizá por un asunto de cumplimiento de fechas o por temas de costes, o porque no le habrá dado la gana (esto tercero ya es de una gravedad monumental del tamaño de una catedral). En cualquier caso espero que el responsable lo pague.
Que Ayuso haya mentido no lo sabía, pero no voy a entrar en esos temas políticos como otra gente de este foro, sino en los aspectos del fallo en sí.
#61 No es que Ayuso haya mentido, es que HA VUELTO a mentir: ya lo hizo con el tema de las residencias, diciendo, primero, que era responsabilidad de Pablo Iglesias y, segundo, diciendo que ellos no recomendaron dejar que los abuelos no fueran trasladados a hospitales.
A gritos pidió una comisión de investigación, con Iglesias en la mira, y a la chita callando, y con el apoyo de Vox, la ha vetado, cuando ha visto lo que se le venía encima, porque la responsable última de las residencias y de los no-traslados era ELLA.
Sinceramente, no entiendo que los madrileños estén dispuestos a dejar pasar algo así por un "es de los míos".
Y con aunque ella no es responsable directa de lo de la web, SÍ ES, de nuevo, la responsable última, y tiene que salir a dar la cara y decir que se va a investigar y que se van a depurar responsabilidades, eso es lo que haría un político CABAL. Pero creo que pasará como con las residencias: igual si se investiga, saldrán cosas que le perjudicarán (como la adjudicación del contrato para ese preciso trabajo a Indra, adjudicación sobre la que hay serias dudas), y por eso prefiere volver a mentir y tirar balones fuera.
#63 Como he dicho, no entro en el tema político.
Sí que debería investigarse, porque si en el contrato del pliego se especifica una auditoría de seguridad que no hayan realizado, Indra debería pagar la penalización establecida, y el jefe de proyectos responsable debería ser cesado y despedido, ya que como jefe de proyectos es su responsabilidad gestionar auditorías de la configuración. He hecho cursos de PMBOK, donde se especifica que esa responsabilidad recae en el JP, ya que es el responsable de toda la planificación y de las decisiones que se tomen a ese respecto.
Vaya hombre, con lo clarito que tenían ayer muchos que era una venganza de TeleMadrid para echar mierda a Ayuso porque quería acabar con la parcialidad de ese medio.
Si claro, los imparciales son los que han afirmado que un fallo de seguridad gravísimo es un bulo, y los parciales los que han denunciado el fallo de seguridad.
El decente director de Telemadrid va a morir matando, periodísticamente hablando.
Van a por él y éste responde con periodismo.
Mis dieses.
Al PPartido Ladrón PPor excelencia le suda el chichi. Reaparece la jeta en sus kkmedios diciendo a sus hooligans que en Madrid te puedes tomar unas cañas en libertá y arreglado.
#28 no pasará nunca para empezar porque en España salvo honrosas excepciones no hay desarrollo de productos, lo que hay es integración y código para juntar piezas. Buena suerte haciendo que una consultora asuma por ejemplo los bugs en la máquina virtual Java.
Y buena suerte buscando a alguien que se responsabilice de que el código no tiene errores.
Más suerte aún encontrando buenos programadores con un titulito.
#40 eso es como si me dices que tenga suerte buscando a buenos médicos con titulito o buenos ingenieros industriales con titulito. Habrá de todo.
La ingeniería informática no es programación. De hecho, muy pocas veces es necesario que sea ingeniero el que programe. Y mucho menos en consultoras/cárnicas. Los de FP de la rama de informática están más que perfectamente capacitados.
El qué firma un proyecto no tiene porqué asumir un fallo de algunos de los componentes de los que se forma el artefacto. Eso pasa en informática, automoción, etc
El fallo lo asumen los desarrolladores del componente. En cualquier caso, hay tolerancias y cualquier sistema es algo vivo, se hacen correcciones y actualizaciones. En cualquier ingeniería pasa esto
#48
> muy pocas veces es necesario que sea ingeniero el que programe.
Menuda mentalidad. Luego nos sorprendemos cuando hay cagadas como la de esta noticia.
#48 entonces, el que firma el proyecto de qué se responsabiliza exactamente? Y en qué consiste la responsabilidad, puede ir a la cárcel si al programador de turno se le olvida validar permisos?
#69 del correcto diseño y ejecución. Ya está todo inventado. En una obra es igual, un hospital, un avión, etc
Si el ingeniero le dijo al programador que tenía que validarlo y el programador se olvidó como dices, es culpa del programador. Pero eso hoy en día ya es así. Al juez le va a dar igual que esté regulada o no
#70 el mundo no funciona como tú dices.
#71 probablemente desconozcas el mundo del peritaje informático. Yo también soy ajeno pero conozco a gente. Se mueve lo más grande. Denuncias por chorradas que al final le salen por un pico a las empresas involucradas.
Hay mucha diferencia entre que exista un buen proyecto o no, en caso de pleito
#72 he estado en España en consultoras y te aseguro que a partir de los requisitos iniciales y lo que el cliente acepta ni de coña vas a ver nada de permisos.
No sé qué pinta aquí un licenciado en informática, de qué parte se responsabiliza, qué formación en la carrera es relevante, etc.
No necesitas titulación ni para trabajar en Google y tú quieres meter requisitos de mierda en estos proyectos.
Eso es una gota más en el océano del PP... No passsa ná....
Lo de la CM con las sub-sub-sub contrataciones es un agujero negro...
#12 Pero es lo mismo de siempre. ¿Os creéis que habéis descubierto la pólvora? Lo de las subcontrataciones lo hacen todas las administraciones públicas, para eso están los concursos, aunque siempre los ganen los mismos. De hecho, yo estuve en una sub sub contratación del SEPE antes de que pasase la hecatombe, es más, aquello lo llevaba una UTE (una unión temporal de dos empresas), y ya sabemos cómo acaban esas cosas.
En este caso el problema es no haber pasado una auditoría de seguridad como se hacen en casi todas. Visto lo visto, está más que comprobado con esto y el SEPE que las auditorías de seguridad son bastante laxas o brillan por su ausencia, lo que añade más gravedad al asunto. Y siendo esa que empieza por I, como rumorean por ahí, me parece ya de juzgado de guardia, aunque como siempre, la culpa será del informático subcontratado al que le pagan una miseria, cuando la culpa es del gerente o jefe de proyectos que no ha gestionado dicha auditoría.
#12 …por el que corren los sobres…
Habrá que preguntarse donde está el proyecto, quién lo firmó y el equipo redactor.
Lamentablemente no es obligatorio, a ver cuándo la informática pasa a ser una profesión regulada
#13 Nunca porque no tiene sentido.
#22 como en cualquier otra ingeniería tiene todo el sentido del mundo, ya que, de la informática se desarrollan artefactos de los que dependen vidas humanas o su seguridad. Entre otras cosas. Y debe haber un documento que avale dicha solución y quién es el responsable.
Otra cuestión es que haya intereses para que esto no ocurra. Pero tarde o temprano, pasará
El rey es lo de menos, lo preocupante es que se han expuesto los datos de "miles y miles de ciudadanos".
Pero alguien se cree a la CAM?
Y por cosas como está, los defensores de la "libertad" piensan cargarse a todo aquel disidente de la cadena pública y mantener su control a posterioridad , creando un "privilegio al veto", como han hecho con el CGPJ . Los que más hablan de la libertad son los que menos la toleran.
En cuanto a cómo están tratando el error... Una prueba de la soberbia y la mentalidad de crío de los que gobiernan la CAM. Ellos son perfectos y si yo la cago, o es un bulo de los rojos o la culpa es de otros.