13 ene. 2014

Encuentra fallo de seguridad, lo reporta y es denunciado a la Policía

Esta es la historia de como no llevar un problema de seguridad de una web municipal. Es la historia de Joshua Rogers, un joven de 16 años de Victoria (Austrialia) que encontró un fallo de seguridad en la web de transporte público de Victoria que le permitía acceder a una base de datos importante, en la que se encontraba información personal de los usuarios del transporte público.

Rogers encontró una forma aparentemente sencilla de acceder a una base datos en la que se encontraban datos personales de 600.000 personas. Datos importantes como nombres completos, direcciones, número de teléfono, direcciones de email, fechas de nacimiento y hasta los nueve dígitos de sus tarjetas de crédito. Sin duda alguna, es una de esas bases de datos que en el mercado negro pueden valer bastante dinero al ser tan detallada.

En vez de hacer una copia de esta base de datos y venderla, según el diario Australiano The Age, el joven Joshua Rogers lo que hizo fue reportar el fallo de seguridad a servicio de transporte público de Victoria para avisarles de lo que encontró y se pudiese solucionar un fallo tan importante.

El fallo de seguridad lo reportó tras las pasadas navidades de 2013, pero esperando respuesta después de dos semanas, decidió enviar el problema al diario The Age y contar lo que encontró. El diario contactó con el organismo de transportes y parece que tras descubrir este fallo de seguridad, se reportó a la Policía que está investigando este asunto.

Pero el problema es que para la Policía solo ha existido un acceso ilegal a la base de datos de transporte público de Victoria, la de Joshua Rogers, por lo que se podría enfrentar a las leyes de ciberseguridad de Australia, lo cual es por desgracia una práctica bastante extendida. En vez de aceptar el error y arreglarlo, investigar a la única persona que ha reportado el error de otros podría ser castigada.

Según comentan en Wired, parece que Rogers uso una de las prácticas más comunes para acceder a la base de datos, una inyección SQL, lo que se considera un problema de seguridad bastante básico y quizá no sea la primera persona que ha encontrado este fallo, pudiendo dejar la posibilidad de que estos datos ya estén en un mercado negro. El propio Rogers ha confirmado que la Policía de Melbourne no se ha puesto en contacto con él y ha conocido mediante los medios sus posibles problemas legales, lo que deja abierta la historia.

Fuente: Fayerwayer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!