331 meneos
8562 clics
El gran hackeo de la prostitución española: datos de escorts y clientes, al descubierto
La falta de autenticación en la base de datos de los gestores de varios locales en el país permitió a acceder a información sobre las chicas de compañía como su DNI, su talla de pecho o su nombre
|
comentarios cerrados
Eso no pero la trata de blancas (¿se sigue llamando así?) la extorsión, el operar en B, el defraudar a las seguridad social, sexo con menores, ....etc, sí.
Y buena parte de ese "negocio" tiene que ver con cosas de estas.
Sólo que El Gran Hackeo no va de los datos al descubierto, si no de cómo las grandes tecnológicas de internet manipulan la democracia accediendo a ellos con nuestro permiso, implícito o explícito.
Puta mierda de medios españoles, informativamente hablando cada vez nos parecemos más a América del Sur.
Y si ya hablamos de que en un articulo que tenga algo mas o menos técnico se exprese de forma coherente, ya es un puto milagro.
Es sorprendente la cantidad de puteros que hay, hasta los más moralistas.
A mi me da miedo la verdad, el estar con una mujer que ha estado con cualquiera, que a saber las enfermedades que portaban solo los 20 o 30 que se ha follado ese día.
Es una ruleta rusa, paso de pagar un precio tan alto, me conformo con el porno.
Bueno, no, las feministas dicen que es explotación.
Quizás pueda itentificársele con todos los datos, y si no da igual porque se le puede extorsionar. Y a ellas también.
Si es un problema de los medios españoles por las características de nuestra cultura o economía, tiene sentido indicarlo, porque la solución será única y específica para tal cultura y economía.
Si es un problema mundial, buscar una solución específica a un problema específico es una pérdida de tiempo, pues no existe tal problema específico.
Si fuera a hacer daño no habría dicho nada.
Me sorprende no encontrar comentarios sobre esta cuestión.
A mi lo que haga la gente normal, me da igual.
- Usa md5 como hash, habiendo hoy por hoy algoritmos hash mas seguros como sha2, sha3, Blake, etc
- Pone las imágenes en crudo en el mismo documento. Lo suyo es usar una colección solo para imágenes, y poner la id de la imágenes en el documento en lugar de la imagen completa
Si los desarrolladores han cometido esos errores a saber que mas fallos han podido cometer relacionados con la seguridad. Pero desde luego la culpa no es de Mongodb
www.rt.com/
www.mirror.co.uk/
diariodeavisos.elespanol.com/2016/08/gloria-poyatos-decidi-darme-alta-
Cliente final y cárnica.
La que no se da de alta es porque no quiere.
Vamos, que parece que al menos en este sitio ellas sí que eligen.
www.theatlantic.com
www.theguardian.com
www.latimes.com/
nuestros medios son una puta discoteca ....
Y las escorts son chicas de compañía, seguramente con mucho más saber estar y decencia que él.
cc #17
"Es sencillo configurarla", explica el experto informático Sergio Carrasco sobre este extremo, aunque advierte de que los riesgos asociados a su configuración "no se suelen tener muchas veces en cuenta". "Es un fallo bastante habitual", cuenta a Teknautas. "Hay muchas MongoDB abiertas, entre otras cosas, porque la instalación por defecto no tiene control de acceso. Por eso suele ocurrir", añade, haciendo referencia también a otras funcionalidades más allá de bases de datos como S3 o ElasticSearch que también están accesibles sin que sus responsables lo sepan
Si consideramos S3 y Elastic Search como bases de datos mi gato entonces es un avión.
(como bien apunta #56 no me he dado cuenta de lo que quieren decir )
Este parrafo también me chirría mucho:
El propio Diachenko advierte de "que esa falta de protección" puede permitir la inserción de 'malware' y que los atacantes administren los sitios "con privilegios de administrador". "Una vez que está instalado, los delincuentes pueden acceder de forma remota a los recursos del servidor e incluso iniciar una ejecución de código para robar o destruir por completo cualquier dato guardado que contenga el servidor", explica, a la vez que señala que hay cerca de 280 bases de datos de este tipo expuestas solo en nuestro país.
Que malware ni que pollas? Si la DB no tiene contraseña y tiene acceso externo ahí no hay ningún "hackeo" especializado, simplemente habrán entrado en la DB, visto los credenciales de los usuarios y habrán ganado acceso a una cuenta de admin...
Me has sacado una sonrisa. Toma positivo.
Y el moro rico no es moro, si no árabe.
Aporofobia.
Hace tiempo oí una expresión, que creo que lo define bien. "Huele a pobre".
Si seleccionas los 4 medios más serios del extranjero y los comparas con los 4 medios más asquerosos de españa, no estás más que aplicando un sesgo de confirmación.
Una sencilla búsqueda en internet te descubrirá que los angloparlantes se quejan de los clickbaits y del sensacionalismo tanto como los hispanoparlantes.
Si tienes la suerte de hablar noruego, francés, o chino te encontrarás que los hablantes de tales lenguas se quejan igualmente del mismo problema (supongo).
El día 6 de agosto, es decir, el pasado miércoles, cuenta que contactó con ellos. Poco después le llegó un correo de vuelta, agradeciéndole el aviso. El propio investigador pudo comprobar cómo el acceso a esa información estaba cortado esa misma jornada.
...ya quisieran las empresas "serias" portarse con esta profesionalidad cuando alguien les avisa de un agujero.
Otra opción es que el admin tuviese las contraseñas de los users de la web en texto plano en la db, y luego su usuario y contraseña de la web fuesen los mismos que el de acceso al server. Eso es lo único que se me ocurre.
Y es lógico.
Yo creía que Marruecos estaba al lado de Nueva Zelanda....
Y las que cobran a 200€ la hora igual preferirían tener un horario de 9 a 14h, pero resulta que a sus clientes ese horario no les suele venir bien. Así que si, pones tus condiciones, pero tienen que ser compatibles con las del sector.
Pero también se pueden encontrar instalaciones de otros productos con las credenciales por defecto, ese no es un fallo de MongoDB exclusivamente.
Además por otra parte parece ser que tenían la base de datos escuchando en un puerto público. Solo la aplicación web debería poder hablar con la base de datos. A menos que quieras hacer administración remota desde internet, lo cual es una locura. Quien les ha implementado el sistema ha sido un chapuzas.
Yo pensaba que en 2019 no hacía falta decir:
* No expongas al exterior los servicios a los que no se debería acceder.
* Todo debe requerir autenticación, con credenciales diferentes de las de por defecto o las que se usan en los ejemplos.
Puedes cargar en una tabla comandos como si fuesen datos, hacer un backup de esos datos, y de momento el script lo tienes en el disco. Alguna manera o vulnerabilidad para ejecutar ese script.
Tener el boletín de cambio listo antes del martes, con toda la documentación anexa, ir al comité de los jueves, y no poder ejecutarlo hasta antes de las 15h de ese mismo jueves.
Al final lo hago todo como si fuese una ninja. A menos que el cambio corte un servicio gordo mucho tiempo prefiero pedir perdón que permiso.
Esto me recuerda a un compañero de la asignatura de sistemas operativos que subía rootkits al servidor y les ponía nombres interesantes con la esperanza de que alguien con privilegios los ejecutase para instalarlos.
Salu2