Contratarían al becario de turno y el resto se lo llevaría calentito, ahora a llorar como mujer lo que no han sabido defender como hombres.

Buen artículo, completo y bien explicado.

Eso no es un agujero, es un socavón.

Aparte de la cagada de ser vulnerables a una inyección SQL a estas alturas de la corrida y guardar las contraeñas sin cifrar. ¿Son necesarios todos esos datos para comprar una entrada? ¿No bastaría solo el nombre y dirección de correo? Ni siquiera haría falta almacenar la tarjeta de crédito si contratas una pasarela de pago

Hiberus la volvió a hacer (son viejos conocidos por aquí, también con su anterior nombre: Iritec y su dudosa participación en MASTIL)

1 millón de euros cobrados al año como comisión por entrada y cometen errores tan mierdosos como guardar las contraseñas en texto plano. Del ataque iSQL ya ni hablamos. Falta que guardarán los números de seguridad de cada tarjeta de crédito para redondear el combo.

Espero que la AEPD les sacuda pero bien.

PD: Lo de que muchas webs de otros museos de toda Españada mucha tranquilidad

Será gilipollas, ha publicado los screenshots del sqlmap.  

#1 Como se hace siempre, no veo la novedad por ese lado.

#1 Yo conocí a una becaria que por 1.200 € al mes y durante tres meses (haciendo muchas horas y fines de semana) hizo ella solita un trabajo por el que se facturó 500.000 €

Yo es que aún me pregunto porque para comprar una maldita entrada a un monumento al que vas a ir una o dos veces en tu vida tienes que acabar danto tantos datos. O cómo para comprar entradas para cualquier cosa te tienes que registrar en 15 sitios diferentes.

#4 Tu comentario es racista y antimulticultural

Menudo agujero, Marca España:
Yo compré las entradas de la Alhambra online y me estoy preguntando para que me pidieron mi DNI y mi dirección para comprar una triste entrada.
Alucino que una empresa del tamaño de Hiberus que se dedica a vender tecnología y sistemas de venta online de este nivel cometa estos fallos de seguridad: SQLinjection, Variables de entrada de usuario sin chequear, datos del backend de transacciones historicas y documentos internos accesibles desde la web, sin sistemas de seguridad antiataques, sin auditorías de código.

Tanta culpa tienen los de Hiberus IACPos (ahora mismo sus webs están caidas www.hiberus.com/iacpos/ , algo tendrán que ocultar, por ejemplo el listado de cientos de webs públicas que usan este software y que seguramente tambien sean vulnerables y estén sin parchear), como los que contratan alegremente estos productos millonarios sin una mínima auditoría de seguridad o un compromisos de actualización de parches (y si lo tienen contratado igual deberían inpugnarlo).

Veremos si la LODP/GDPR sirve al algo.

Por cosas así se me quitan las ganas de hacer compras/registrasme en webs, comprar vuelos,hoteles. En cuantos miles de web ocurrirá lo mismo sin que nos enteremos. Está bien que estas noticias se sepan para concienciar.
Luego lloraremos porque la gente solo se fia de comprar en Amazon.

Una vez pagué para entrar y no me dejaron por llegar 5min tarde a la cola, eso si, el dinero se lo quedan y ganas de solucionar nada 0. Desde ese día como si se quema.

#6 Si te refieres a los IBAN es porque son las cuentas que usan las agencias. Entiendo que guardan los IBAN para facturarles las entradas.

#17 Yo pagué y me equivoqué de turno, llegué 30 minutos más tarde que era cuando era el siguiente y me dejaron entrar sin ningún tipo de problema. Un nuevo caso de que generalizar por un caso concreto, meh.

#18 Sí, eso tiene sentido. Aunque la web permitía también la compra a particulares. Si guardaban las contraseñas en claro no me extrañaría que guardasen también los números de tarjeta de crédito

#4 ¿Qué pasa, que las mujeres no pueden ser machistas?

Y además, no, no lo dijo ella, como suele suceder con este tipo de frases. Por ahí dicen que se la inventó el padre Juan Velázquez de Echeverría en el siglo XVIII, con el objetivo de desacreditar la figura de Boabdil, en esta obra:

www.bibliotecavirtualdeandalucia.es/catalogo/es/consulta/registro.cmd?

Y por cierto, de la frasecita inventada hace ya más de dos siglos, igual está un poco caduca a estas alturas...

#19 No ha generalizado. Solo ha contado su caso igual que tú

Llega un punto en el cual los datos que no se filtran son los menos. Cada vez que me preguntan mis datos, sino es oficial, me los invento y a paseo.

#19 Pues tuviste suerte de que te dejaran pasar. Los palacios nazaríes no soportan más carga de visitas que la prevista. Se organiza en turnos de 30 minutos y si se te pasa te pierdes esa parte de la visita (el resto del conjunto de la Alhambra, Alcazaba y Generalife, no tiene horario regulado, por lo que solo se pierde un "tercio" de la visita, el mejor en cualquier caso).

Lo normal es que no te dejen pasar una vez pasada tu hora, el personal tiene orden de no hacerlo, así que quien te dejó hacerlo se saltó las normas (ojo, que me parece bien, creo que es una norma que hay que aplicar con flexibilidad, de hecho cada vez que un guiri me preguntaba por el acceso a palacios con hora pasada le decía que lo intentará en cualquier caso, porque los trabajadores de la puerta saben si está o no muy saturado el recorrido y "pueden" aplicar manga ancha).

#20 afortunadamente el pago se hacía (al menos hace un par de semanas) vía pasarela de pago, Redsys, creo. Así que ellos no tienen esos datos

#12 made in hiberus!

la web de hiberus ahora mismo dando un error 500

#15 simple... cogen a gente casi sin cualificar (mientras se pulen a los que tienen experiencia) y les meten a hacer cosas como esa sin darles apenas formación.

Hace ya años ya montaron una buena con el estreno del e-commerce de Interflora

#12 Yo también! aunque creo que la que conozco yo era por 800€. ¿No sería en Boecillo, Valladolid, en un proyecto i+d? Supongo que no, y que no son casos aislados.

Al final el cuñao de "Como va a costar XXXX€ sí mi primo lo hace en php por 500€" va a tener algo de razón. No por lo que deberían ser estos sistemas, sino por lo que acaban siendo.

SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_I_TRUST_YOU};
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_IM_UNDERPAYED};
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_FOR_THE_LULZ};

#29 No, en Madrid, y en un proyecto visible por cualquiera.

#21 Ni a Newton le cayó una manzana, pero el personaje histórico cuadra con esa frase, y si bien aunque exista la posibilidad de que sea falsa, podría haberla dicho perfectamente. Y decir que algo que pertenece a nuestra cultura es caduco, solo denota desprecio o falta de madurez.

#33 Claro, y una ficción que a ti te cuadra porque te conviene no bajarte de la burra es históricamente válida porque... a ti te lo parece. Y a partir de aquí entramos en bucle y el rigor histórico salta por la ventana porque a tu orgullo herido le viene mal reconocer que has metido la pata hasta el corvejón por hacer la gracia, y que ni puñetera de historia, pero por hablar y encadenar tonterías que no quede...

Y luego ya lo de seguir retorciendo la argumentación y el lenguaje para embestir y que no se note la ignorancia supina es más de lo mismo. Piensa el ladrón que todos cojean del mismo inmaduro pie y va a ser que no.

( )

Dejando a un lado lo de las contraseñas sin encriptar, me quedo alucinado con la cantidad de gente que se ha registrado utilizando como contraseña el propio usuario

#19 No, el caso es de falta de comprensión lectora.
Generalizar habría sido afirmar "si llegas tarde no te dejan entrar y no de devuelven el dinero", pero he dicho que YO pagué y A MI no me dejaron entrar.
Que te dejaran entrar a ti, o a todo el mundo menos a mi, me suda la polla, se quedaron mi dinero sin ofrecerme el servicio, y no querían ni cambiarme el día, por mi como si se derrumba en un terremoto.