Un ejemplo de la tristeza de la seguridad en las empresas
En estos días he encontrado una vulnerabilidad en un sitio de una importante empresa nacional y, como siempre hacemos desde Segu-Info, he procedido a informar la misma a través del formulario de contacto de la compañía.
La "curiosidad" del caso es que, como desde el sitio se puede acceder a la información (sensible) de la empresa (precios, ofertas, descuentos, promociones, teléfonos internos, empleados, nombres de usuarios, horarios de trabajo, cámaras de vigilancia, etc.) luego de dejar mi comentario, el mismo ya se podía ver junto a todos los demás usuarios que se habían comunicado con la empresa:
Casos como estos son abundantes en todo el mundo pero, si bien puede sonar inocente, cuando se encuentran y se reportan las empresas siguen manteniéndolos sin corrección, basados en la confianza de que "si hasta ahora no pasó nada, por qué debería suceder ahora que sabemos del error".
Además también llama la atención la cantidad de vulnerabilidades encontradas en un mismo sitio y que todas ellas pertenezcan, generalmente, al mismo tipo, ampliamente conocidas y para los cuales existen sencillas soluciones.
Una vez más sólo se me ocurren dos respuestas para esta triste situación: la primera es la inocencia que existe con respecto a la necesidad de conocimiento en seguridad y, la otra, el alto nivel de negligencia. Estos dos puntos,podría hace suponer que las empresas no tienen incorporado el Due Diligence y Due-Care como parte de su estrategia de negocio y cuando el mismo se encuentra expuesto a Internet.
Nota: la empresa ya se ha puesto en contacto informándome que solucionarán el problema.
Cristian de la Redacción de Segu-Info
La "curiosidad" del caso es que, como desde el sitio se puede acceder a la información (sensible) de la empresa (precios, ofertas, descuentos, promociones, teléfonos internos, empleados, nombres de usuarios, horarios de trabajo, cámaras de vigilancia, etc.) luego de dejar mi comentario, el mismo ya se podía ver junto a todos los demás usuarios que se habían comunicado con la empresa:
Además también llama la atención la cantidad de vulnerabilidades encontradas en un mismo sitio y que todas ellas pertenezcan, generalmente, al mismo tipo, ampliamente conocidas y para los cuales existen sencillas soluciones.
Una vez más sólo se me ocurren dos respuestas para esta triste situación: la primera es la inocencia que existe con respecto a la necesidad de conocimiento en seguridad y, la otra, el alto nivel de negligencia. Estos dos puntos,podría hace suponer que las empresas no tienen incorporado el Due Diligence y Due-Care como parte de su estrategia de negocio y cuando el mismo se encuentra expuesto a Internet.
Nota: la empresa ya se ha puesto en contacto informándome que solucionarán el problema.
Cristian de la Redacción de Segu-Info
Cristian yo me iria por lo segundo "alto nivel de negligencia". A mi también me ha sorprendido la poca importancia que le dan a estas advertencia.
ResponderBorrarEn una oportunidad les escribi a un banco por un continuo phishing, les pregunté si estaban interesados en recibir esas notificaciones. Ni siquiera me respondieron. Son totalmente apáticos para la seguridad, su norma es "no pasa nada"
Imaginate los usuarios que confian en la seguridad de ese banco.
Leonardo U.
Coincido completamente con ustedes. Ya llevo mas de 7 lugares advertidos, de los cuales 1 se contacto conmigo para poder ver como se solucionaba el problema. El resto o bien dijo no ser verdad la vulnerabilidad que poseen, o bien nunca obtuve respuesta. En cuanto a seguridad respecta, la mayoria de los administradores en Argentina, son pateticos y dan lastima, y lo mas penoso no es que no sean programadores seguros, sino que no hacen reconocimiento de su ignorancia. Nosotros nos tomamos las molestias de avisar sobre un fallo en sus sitemas como gente etica, hecha y derecha, y ellos devuelven un acto sincero con desinteres descaradamente.
ResponderBorrarHago un llamado a la Comunidad de Hackers Eticos, Black Hats, White Hats, Gray Hats (que ningunoo de estos es nuevo como los presentan en los articulos!! son mas viejos que la injusticia) ... No ayudemos mas a los que no se lo merecen. Despues de la primer advertencia, pongan en evidencia la inseguridad, es la unica forma que en Argentina puedan ver las falencias de sus sistemas. Ahi recien van a concienciarse de que la Seguridad no es algo que se puede optar, sino que es un deber tanto para ellos como protocolo basico para cualquier empresa, como para el pobre cliente que confio en sus sistemas.
0pt1mu5! (Ethical Hacker)