"Cuando vi que me había colado en el sistema de telefonía del Atlético de Madrid no me lo creía. Llamé a Enrique Cerezo y sonó. Colgué por miedo". Así describe el responsable de sistemas de una empresa química española el agujero de seguridad que descubrió en Centrex IP, un servicio de centralita en la nube que ofrece Telefónica a compañías en España para gestionar sus líneas de teléfono en diferentes sedes.
|
etiquetas: telefónica , líneas , teléfono , empresas
Grande Alierta, a ver si vuelve que no me rio hace días con unas conferencias de esas suyas
Es una cagada meter esa contraseña tan simplona, es un fallo causado por dejadez pero muy fácilmente solucionable, no es un problema intrínseco en el sistema.
Ese problema (y el de las password por defecto) no es exclusivo de Telefónica. Por ejemplo:
www.dailymail.co.uk/news/article-2515598/Launch-code-US-nuclear-weapon
José María Alonso Cebrián approves
Telefonica Digital España, Telefonica Digital Identity & Privacy, Telefonica Ingenieria De Seguridad seal of approval
A este paso esta señora sustituirá a Álvarez-Pallete: twitter.com/AntonioMaestre/status/934024077643341824, twitter.com/anadebande
/cc #5
Salu2
Así se multiplica por 10 el tiempo de resolución.
Como hacker es una broma, pero negociando es un máquina el cabrón.
Root / admin
Y admin / 1234 como pass.
Te cuelas en un porcentaje significativo de sistemas españoles. Que si bien no son criticos, pueden tener datos de clientes.
Al final el de sistemas de tu empresa hará lo mismo, o usará un programa externo que tiene el mismo agujero de seguridad.
Ah, y no le tengo envidia alguna a ese señor. No le cambiaría ni mi curro ni mi vida.
Sí que trabajé en consultoras, por eso conozco el proceso
Agujero recién descubierto????
SEGURO????
ps. Chemita, que se que estás leyendo, so cabrón: Me debes dos cervezas y el libro de la era del diamante que te presté hace ya ni me acuerdo.
Me suena, me suena.
...para que te tires de cabeza...
Nadie ha hablado más despectivamente de todos los grandes emprendedores del mundo de la informática e Internet.
Soy experto en análisis de frases dichas por
altos cargostarados con cara de subnormalCuando tengan el desarrollo hecho y probado deberán abrir un boletín de cambios, que tendrá que estar relleno con toda la documentación relacionda y avanzado de estado antes de un miércoles a las ocho de la mañana y tendrá que ser aprobado en el comité de los jueves.
Trabajé para cierta entidad que tenía un proceso muy similar, pero tenía definido un proceso de urgencia para estas situaciones. Es lo mismo pero el proceso no espera fechas, cada una de las partes implicadas actúa en cuanto tiene los datos suficientes para hacerlo. Eso sí, el pobre externo que tiene que solicitar este procedimiento pasa bastante miedo.
Una intención muy loable y para nada peligrosa.
Algo bueno tiene que tener ser externa a cambio de hacer todo lo que sus esbirros no subcontratados no desea hacer pero debe hacerse: no hablo con nadie con cargo superior a gerente que no sea el mío ni aunque vaya la vida de la organiazción en ello ni apruebo nada que tenga que ver con dinero directamente, por mucho que los de arriba confíen en mi y en mi equipo de externos. Si hay algún problema con eso se lo comen los de la casa.
Las entidades financieras no quieren que se contrate gente ni que se paguen buenos sueldos porque esto distribuiría la riqueza y fomentaría el consumo, reactivando el mercado, mitigando la crisis y arrebatándoles la posición dominante que se han procurado.
Chema de mi corazóóóóón...
Que te van a echar del temaaa, Chemaaaa
Movistar te da portóóóóón...
Un hacker reconocido encargado de la seguridad de Telefónica, ¿qué podía salir mal?
Pues que fuera Chema Alonso, claro.
cárnicasEspaña) ya habrá "pagado los platos rotos" el eslabón más débil, como siempre, vayan tomando nota.Chapuzas a nivel máximo, de las "Grandes Empresas" esas que son las que "elige el Mercado como mejores" porque los Consumidores son seres de Luz, aunque malos votantes.
Que ganas tengo de que alguien le meta mano, a la Caspa, y les de una mínima pero fuerte Disciplina (sin ser tan mínima, incluso), que llevan décadas viciados y en la involución permanente, y lastrando nuestro futuro.
ete... eteee... (Cesar Alierta, Telefónica-Movistar)
www.youtube.com/watch?v=XM30vP4kXtY
Son los Mejores, joder, nos dirigen los Mejores... borrachos-puteros...
puff eso de la plataforma Aura, tiene un tufillo a Luz, Iluminados, Opus y caspa, que tira para atrás...
"... nos dejarán controlar nuestros datos", vaya nos dejarán "ejercer nuestro Derecho a controlar nuestros datos, que buenos que son estos de Telefónica-Movistar...
Gobernados por borrachos y chusma rancia... (lo que nos queda...)
Al menos no estamos solos, y somos más de cuatro gatos (anque minoría), los que nos damos cuenta de ello.
www.meneame.net/c/23225161
Salu2, y estoy de acuerdo con lo que planteas.
Para mi un Hacker, o un analista, tiene una doble función (una es como la de un Periodista, investigar y señalar, otra trabajar en proyectos, pero en ambas profesiones hay Mercenarios ), y hay gente que tiene Responsabilidad, y sabe como debe actuar.
Si un Hacker, "monopoliza" Conocimiento, es su decisión, lo Lógico es compartir y debatir como solucionar la vulnerabilidad, el fallo... (con el sujeto vulnerable antes, por supuesto) (antes de que alguien más lo aproveche, para "hacer el mal")
... Sobre lo que apuntas, es muy cierto, lo que hoy día se entiende muchas veces como "divulgar" (*1) que es directamente mascar regurgitar y soltar cápsulas de simplificación e información "de mierda" mascadita para garrulos (con muchas palabras en inglés)... pero nulo fondo ni Principios ni voluntad de informar o enseñar, sino "basura efectista", en el tema de Hacking tenemos el infame caso de "CSI: Cyber"... (y hay muchos otros)
En eso se han convertido muchas Conferencias (por eso hay pocas que merezcan la pena), para todo lo demás SciHub, SpringerLink (y los "conocidos")... y siempre habrá "monopolización del Conocimiento" en estos campos "por Beneficios personales, o egoísmo".
El sujeto Chema Alonso, pues tiene su blog y sus cosas, ha editado libros (ha hecho mucho más que otros que van mucho de "clandestinidad" pero de aportar al colectivo realmente poco, por lo demás otro sujeto que escribe en Internet (con sus aciertos y sus errores), sin más, sin tener que compararlo ni nada.
¿Es un buen analista o hacker? (no lo sé, a veces escribe cosas interesantes), tengo otras Referencias, eso sí, y en estos campos hay que siempre contrastar, y saber del detalle y el contexto en el que se habla, y no me va lo de Autoridad, sino argumento a argumento, hecho a hecho... (en ningún campo, menos en este campo...)
Luego el propio título de su blog juega con el concepto de Bondad vs Maldad ("Un Hacker en el lado del Mal"), como humor supongo.
Esto ha salido en ElConfidentcial, supongo que cualquier empresa seria, estaría muy cabreada con esto (aunque supongo que muchos hace tiempo que tendrán móviles con roaming de alguna Europea mejor), pero "no confío en las capacidades de los "gerifaltes" demasiado...
Tampoco es mi campo lo de los ISP y su Seguridad (tiendo a no confiar en ninguno)
Lo que está claro es, que la SIM como Identidad-rastreo, y su posible duplicado es en sí una "vulnerabilidad" para quien este a "cierto nivel", de facto el Estado o "amigos del Estado" podrían intervenirlo en cualquier momento (incluso con el juez-residente ese, del CNI)
De la línea fija, mejor ni hablar (que me evoca imágenes de GoodFellas)
Cuestiono otros aspectos, no su capacidad de oratoria ni la de vender una idea o punto de vista.
Y es una gilipollez, pues tampoco resulta difícil encontrar la información que se reserva.
securityinside.info/de-canas-con-el-cdo-y-el-ciso-de-telefonica-chema-
O era.
/cc #5