El hacking nuestro de cada día

25/03/2010 - 00:19:58 por Fabio Baccaglioni - 5552 - 17 - En General

Cortito, ayer hackearon la web de Geelbe, nada del otro mundo, leak de usuarios y passwords, un lammer posteándolo en un site, pánico, día feriado, baja del site, up rápido.

Para tranquilidad de los usuarios de este sitio no hubo compromiso en las tarjetas de crédito, sólo en los passwords de los usuarios del site. Las tarjetas pasan por un conducto de pago externo y seguro.

Como creador de este blog y otros tantos es normal que cada tanto nos jodan un password o logren una inyección de SQL o algo por el estilo. Si tenían cuenta en Geelbe y usaban el mismo password para otras cosas, cambien primero el de otras cosas y luego entran a cambiar el de ahí, listo, rapidito.

Más info en lo de Mariano

Si te gustó esta nota podés...

Categoría: General Etiquetas:

Escrito por Fabio Baccaglioni

Otros posts que podrían llegar a gustarte...

Comentarios

1

ferxxxtuc 25/03/2010 - 00:33:11

Sisi, todo bien.. pero malisimo que minimicen el hecho de que la gente de gelbee tenia los passwords en texto claro, o sea una cosa impensable.. incompetencia? Eso seria grave, proposito?? Eso seria peor..

Estan en deuda con todos sus usuarios y lo unico q hacen es quererlo minimizar, poca seriedad..

2

virtualroot 25/03/2010 - 00:41:33

como dije anteriormente, el que sabe sabe, y el que no, programa geelbe.

encriptar en md5 o sha1 es algo basico...
Dps en el blog ponen que los pass no estaban en texto plano... es base64...

3

Fabio 25/03/2010 - 01:21:02

ferxxxtuc dijo:

Sisi, todo bien.. pero malisimo que minimicen el hecho de que la gente de gelbee tenia los passwords en texto claro, o sea una cosa impensable.. incompetencia? Eso seria grave, proposito?? Eso seria peor..

Estan en deuda con todos sus usuarios y lo unico q hacen es quererlo minimizar, poca seriedad..

no minimizo eso, para mí está cómo el orto y ya les ofrecí mis servicios, si me habrán hackeado el blog...

virtualroot dijo:

como dije anteriormente, el que sabe sabe, y el que no, programa geelbe.

encriptar en md5 o sha1 es algo basico...
Dps en el blog ponen que los pass no estaban en texto plano... es base64...

sep, de hecho, este blog tiene los pass en MD5 desde... desde... mierda, desde la primer versión del Postrev

4

K 25/03/2010 - 02:24:50

Lo primero que hago en cualquier pagina es registrarme con un password "trucho".. si me lo mandan en texto plano por email me invento uno nuevo para esa pagina.. mas vale prevenir que comerla.

5

Gustavo 25/03/2010 - 10:00:48

Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)

6

DrM! 25/03/2010 - 10:50:50

Cuántas páginas con info sensible y código pobre... Las web está llena de "programadores" que hicieron cursos por mail...

Ahora, yo entiendo mal o solo se filtraron los primeros 700 que se registraron en el sitio en 2007?

7

Slack 25/03/2010 - 11:00:27

Esto tiene para mi 3 problemas.

- Para los usuarios: pusieron en riesgo información de usuarios, ya sea las tarejtas o el mail con el que se registra. Está igual de mal, salvo que con diferentes repercusiones posibles.

- Para el site: desmotraron que son falibles con datos sensibles, pierden credibilidad, y atentan con esto contra su propio negocio.

- Para las ventas online: sumamos desconfianza. Si luego queremos reclamar mayor apertura del comercio electronico en Argentina, éstas cosas no pueden pasar de manera tan absurda.

Sobre los tiempos de respuesta, no comparto lo de rápido y eficiente que comentan en algunos blogs amigos.

8

Fabio 25/03/2010 - 12:16:48

Slack, estás equivocados, los datos de cuenta los maneja otra empresa que se decica, justamente, a estos datos sensibles y tiene certificaciones bancarias.

Geelbe, para sus usuarios, usa un sistema propio.

Es normal y hasta conveniente manejarlo de esta forma, vía un Gateway de pago, al menos si no tenés programadores muy confiables.

Con respecto al nivel de desarrollo dentro de la empresa no puedo decir mucho, lo ignoro y prefiero no apresurar ninguna idea. El uso de frameworks conocidos como dice Gustavo no te asegura absolutamente nada, tiene que estar bien hecho ya que hasta con frameworks te podés mandar cagadas.

Habiendo programado tantos años ya se que todo esto puede pasar y que puede volver a pasar en TODOS los sistemas web porque no existe el sistema perfecto.

9

Slack 25/03/2010 - 13:03:26

Fabio:

Yo no afirme que efectivamente Geelbe almacene esos datos (es algo que no puedo asegurar ni negar).
Se perefectamente cómo funcionan los gateways de pago ya que he hecho varias integraciones de distintas plataformas con distintos gateways. (Y conozco también cómo funciona el gateway que ellos han contratado/utilizan).
No está en discusión ese punto.
Me refería a que si bien si se almacenaran datos de tarjeta o sólo sea tu cuenta de email (de ahí lo de "diferentes repercusiones posibles), se puso en riesgo información.

Si bien las explicaciones que salieron a darse hablan que era de una beta, una db vieja, etc; hacen que sea un poco complicado creer (por más positivo que pueda ser uno).

Igual mi punto era referente a las consecuencias de esto.

Usuarios con posibles repercusiones sobre sus datos (ya sea su mail, contraseña de uso masivo, domicilios, teléfonos, dni, y algún dato más si es que era accesible).
Un negocio que trandrá que trabajar muchísmo para reveirtr su imagen. Por más explicaciones y cantidad campañas por todos los medios qeu se te ocurran, más de uno ha de dudar. (El que se quema con leche...)
Y como decía, es una cuestión de imagen para el comercio electronico, que cuesta y avanza muy lento en Argentina.

Tampoco me puse a criticar sobre si el nivel de desarrollo es bueno o malo más allá de lo que piense o sepa.
Es cierto que puede pasarles a muchos, ha de vovler a pasar en cualquier lugar, etc, etc, etc.

Hablar sobre lo mal que estuvo usar base64 es repetirse. Supongo qeu como sugerencia podrían implementar sistemas de alarmas sobre accesos, logs, bloqueos de reintentos, etc, etc (sea que hayan usado un db vieja que les quitaron/accedieron en el 2007 o fue un ataque real en el día de ayer).

10

HeyHomer 25/03/2010 - 13:15:38

quien es la profesora del header?

11

Ch1v4 25/03/2010 - 19:38:37

HeyHomer dijo:

quien es la profesora del header?

Desubicado como chupete en el culo. =P

12

SeniorD 25/03/2010 - 22:08:50

que se jodan por "exclusivos" quien los manda?

de tener la capacidad técnica yo lo hubiese hecho, por ser "selectos"

a comerla (si, ya se que no tiene nada que ver pero posteo lo que pienso y asumo las consecuencias aunque vaya en contra de otros ideales)

de no ser "The League of Extraordinary Gentlemen" no serían un target tan llamativo, todo circulo cerrado se vuelve fluorescente a la mirada perniciosa

13

varlos 25/03/2010 - 23:03:41

tambien conozco mas de tres tipos que critican my fuerte a geelbe y que nunca dejarám de ser prograadores empleaods de empresas que SI peinsan en ellos, como piensan los de geelbe del monton de empleados que tienen en arg

14

varlos 25/03/2010 - 23:04:44

fabio, me refiero a gustavito y a dalgrev

15

Alejandro Hernan Perez 26/03/2010 - 09:46:17

varlos dijo:

tambien conozco mas de tres tipos que critican my fuerte a geelbe y que nunca dejarám de ser prograadores empleaods de empresas que SI peinsan en ellos, como piensan los de geelbe del monton de empleados que tienen en arg

si programas como escribís... OMG simplemente

16

Gabita.rgb 27/03/2010 - 13:31:20

Si un bajon, yo tuve que cambiar algunos passwords

17

subzero 28/03/2010 - 02:07:02

obvio que te van a decir que no hubo compromiso de datos de tarjetas de credito...