Pues me gustaría ver un documento más técnico, pero si las contraseñas se guardaban encriptadas no deberían poderse leer.

Sería muy raro que no se hiciera así a estas alturas.

Inyección SQL en una plataforma que debería estar muy bien protegida... es una de las vulnerabilidades más clásicas comúnmente (aunque no siempre) causada por malas practicas.

La Generalitat sufre un fallo de ciberseguridad y deja al descubierto miles de correos y contraseñas

Titular aséptico para maquillar lo que realmente se ha hecho.

Ninguna de las webs reportadas figura como un sistema crítico y, por lo tanto, no contenían datos críticos o sensibles

No se, pero viendo las páginas afectadas me resulta muy raro que no hayan accedido a datos sensibles. Habrá que ver cuando se podían llevar, pero tiene pinta de que han podido hacer un volcado completo de las BBDD afectadas, y seguro que había datos "bonitos" en las mismas.

¿Pero quién demonios almacena hoy en día una contraseña en base de datos?

#5 No sería tan raro. Yo me he encontrado desarrollos donde la contraseña estaba sin cifrar. En pleno 2020.

Que una página gubernamental sea sensible a un ataque sql injection a estas alturas del siglo, ya tiene tela. Y si guardaban las contraseñas en texto plano, ya es de premio.

#8, eing?

También sería interesante saber de dónde ha venido el ataque.

#8 Das tu punto de vista desde un prisma crítico o conocedor de principios de sistemas. Ahora tienes que ponerte en el punto de vista de un funcionario que se la suda al ser indefinido y va a pasar el rato en el trabajo, y no a trabajar.

#9 si se entera la agencia de protección de datos de eso te cae un puro que terminan de pagarlo tus nietos

Qué pinta la foto de Torra?

La República digital.

#12 del CNI of course

#11 Se refiere a que es raro que se almacenen las passwords (como tales directamente) en una bbdd. Es práctica malísima.

#13 Pero es que eso no lo hace el funcionario sino quien diseña el programa.

Sqli en 2020... eso tiene que llevar ahí siglos, y raro es que no lo hayan explotado... es lo más sencillo del mundo y lo que prueban todos los script kiddies

La contraseña más usada es: "aquelqueantelavozespañaNOgriteunviva-NIeshombreNIesespañol".

#8 pues hombre, o están en un sistema LDAP o los tienen externalizado via algo como OAuth (que por detrás usará una base de datos o un LDAP), o están en una base de datos.

Salvo que tengas necesidades de SSO, no tiene nada de malo tenerlas en una base de datos, otra cosa es con que hash lo tengas guardado. Un SHA-384 con random salt es muuuuuy jodido de romper

#14 Hace un tiempo denuncié un caso de spam masivo a la AEPD donde se exponían además todos los correos electrónicos.
A lo mejor les pusieron un puro, oye, pero no me informaron del resultado. No sé yo...

#12 Si es una página web, a los 30 minutos ya lo saben porque el log del servidor marca la ip de origen de cada petición.

#11 lo lógico es almacenar el hash, no la contraseña en si.

#13 el que programa no es el funcionario, es la empresa adjudicataria

#15 lo mismo que pintó durante su mandato: nada, figurar!

#14 No en la administración. No se multa a sí misma, o sea que...
Al menos es lo que me contaron en un curso sobre esto en la agencia catalana de protección de datos.

#8 Doy el punto de vista de alguien conocedor que para la gestión de los sistemas de información de las administraciones públicas no lo suelen hacer funcionarios sino un entramado de empresas cárnicas y UTEs que no dudan en contratar o bien becarios o bien gente hasta los cojones de cobrar una miseria.

#11 ¡Tash-Koh-Tah!

#6 Aunque no sean críticas mucha gente usa siempre la misma contraseña, así que una vez consigues una es cuestión de ir a otra web que sí tenga "información sensible" y probar con esas mismas credenciales.

#25, sí, pero el hash se guarda en una base de datos, no?

#12 Anda que si viniese de "juankers" chinos o rusos se te iba a caer el mundo encima...

#18, vale, ya lo entendí, presupongo que hoy no hace esto ni un estudiante de primero de ingeniería informática.

#2 Si les han dado bien a Sony y a Nintendo, no les van a dar a la Generalitat... Viendo como se las gastan las plataformas y aplicaciones de los servicios públicos que algunos parecen de los 90. Y muchas incluso sin certificado digital a estas alturas. Lo raro es que no hayan caído mas.

Un ejemplo:
arado.juntaex.es/laboreo/inicio.aspx

Sony:
www.abc.es/tecnologia/abci-entrevista-sony-201104290000_noticia.html

Nintendo:
www.vidaextra.com/nintendo-switch/nintendo-confirma-que-160-000-cuenta

Y había otra mas, no encuentro la noticia pero lo lei en meneame, en un evento de nintendo los administradores usaron la contraseña 1234 y también les dieron.

#24, pero seguramente hayan utilizado un proxy.

#33 Desde luego no debería. Burradas hemos visto todos en todos los sitios.

#2 pregunta en twitter q las guarda/ban en plano

#31 Claro, pero ese hash solo te sirve para validar si una contraseña es correcta, pero no contiene la contraseña en si. Podrías hacerlo público y no serviría para mucho

#35 Se suelen utilizar PCs zombies. Pero si, si han sido un poco hábiles se camuflan bien. El log les podrá dar pautas. Como el rastro acabe en China o Rusia, les va a dar igual porque no van a mover un dedo alli.

A cualquier intervención de las cloacas del estado se le llama fallo de seguridad.

#2 No creo que sea un sql injection. En voxpopuli no saben ni dónde tienen la mano derecha.

El artículo cita una librería desactualizada y un caso similar de robo de contraseñas en Vueling.

Creo recordar que en aquel caso fue más bien un keylogger que enviaba los datos del formulario a otro servidor.

#8 Mucho mejor en una libreta al lado del servidor

#9 Diselo a Adobe, que le robaron todas las cuentas y ni siquiera tenian una sal

#41 +1 Si fuera SQL Injection las habr'ian reventado hace anhos.

#23 hace tiempo en la aepd había un buscador de resoluciones, pero como indica #28 hay casos en que no afecta a aapp

#22 a lo que #8 se refiere, es a que NO se debe almacenar nunca una contraseña en texto plano, sino un hash de la contraseña.

El tema funciona a grandes rasgos así: cuando el usuario introduce la contraseña en la pantalla de log in (por ejemplo), se compara el hash almacenado con el hash de la contraseña del usuario. El algoritmo de hashing (debería) ser unidireccional, por lo que un atacante que se hiciese con esos hashes no sería capaz de suplantar a los usuarios afectados.

Eso te vale lo mismo en una base de datos, en LDAP o ficheros de texto. Como en una auditoría te cacen con contraseñas en texto plano, te puede caer un multón de impresión.

Edit: no te había leído bien el segundo párrafo, veo que ya sabías todo eso

#33 Uy. Pues no sé cómo andarán ahora los estudiantes de primero de ingeniería de informática, pero yo he visto burradas así en sistemas de producción, en el departamento de informática, hace menos de una década.
Vamos, lo que dice #36. Otra cosa es que sea una salvajada (y hay muchas).

#26 Lo he entendido mal entonces

#8 Pues todo el mundo.

Hasheada y con una sal. Pero todo el mundo la almacena en la base de datos.

#19 Lo he entendido mal entonces

#13 me pongo en tu punto de vista y veo la vida muy gris

#45 Exacto. Y les habrían robado toda la base de datos, que probablemente ya estaría publicada en algún sitio

#38, obviamente. Pero desde que leí la noticia que he dado por sentado que lo que lo que había quedado expuesto eran los hash, no las contraseñas a pelo.

#12

Yo no llamaría ataque a un sql inyection ... un ataque es otra cosa.

#47 eehhhhhhmmmm, sí, se de que va eso y se como funciona un algoritmo de hash, pero gracias.

#31 Como indica #38, la idea de usar hashes es la de aplicar conceptos matemáticos que permiten exponer datos en su versión transformada sin que se pueda recuperar la original (entre otros conceptos).

Creo recordar que cuando eso no se implementa correctamente (que haya una relación biyectiva entre dato original y hash) se puede usar para intentar adivinar. Aparte de que haya funciones más o menos "adecuadas" para transformar el dato en hash.

#40

Hasta mi sobrino de 12 años sabe hacer un sql inyection... espero que las cloacas sean algo más sofisticadas que eso

#46 Sí, es una opción. O puede que no considerasen relevante. Era una sociedad privada que se lucraba con esos envíos de información, así que me sorprende. Pero puede ser que sea lo que decís.

La denuncia era principalmente por no hacer uso del BCC, pero también por spam no solicitado (nunca me registré en dicho sitio).

#47 Ahí le has dado. Hoy en día no se almacenan contraseñas sino sus resúmenes criptográficos. Esa es la razón por la que en las páginas webs ya no tienen un botón de "recordar contraseña" sino de "generar nueva contraseña". Así, si acceden a la base de datos como mucho pueden robarte el hash y dependiendo del utilizado, no van a poder hacer mucho.

#42 Veo que no entiendes del tema.

#50 No. Cuando le metes el hash de una contraseña no almacenas la contraseña porque los algoritmos hash no son bidireccionales, es decir, no puedes calcular una contraseña a partir de su hash.

#18 pregunta de buena fé
si no se guarda en la BdD.... (Encriptada evidentemente)
donde se guarda?

Otro ridícul històric. A ver si publican los correos y nos reímos un rato de como mangonean los ultracatalanyistas las cosas de la Gene.

#3 Una inyección de SQL es de principiantes. No hay excusa

#2 La Gene es un claro ejemplo de que como es absolutamente mal gestionado uno de los recursos criticos de un ente publico tal y como los servicios digitales.
Basicamente, no hay nadie con dos dedos de frente dentro de la Generalitat que sea capaz de llevarlo correctamente. Lo tienen TODO subcontratado y el pastel repartido entre: IBM, LaCaixa(ITNow), Sermicro (corteingles y demas empresas paralelas), T-Systems, desconozco si Indra tiene algo, pero no me extrañaria. Y a la vez, cuelgan dos, tres, o todas las sub-subcontratas que hagan falta de estas ramas.

Básicamente lo que hacen es dividirlo todo entre estos proveedores, y dejar que se peleen entre ellos a un sobrecoste exhorbitado. Si realmente alguien quisiera arreglar eso deberían de crear una unidad core de ingenieros dentro de la Generalitat, que hay gente de sobras en tierras Catalanas y con necesidad de trabajo. Pero lo que hay son trepas apoltronados en sillas que les es mas fácil subcontratar e ir a tomar su cafe a las 11.00 y que se coman el marron las subcontratas.

Al final tienen ingenieros haciendo un trabajo de pena contratados por sueldos miseros en una de estas subcontratas, mientras las subcontratas se llevan gran parte del pastel por un trabajo nefasto. Esos mismos ingenieros contratados directamente de alguna manera por la Generalitat podrian optar a un mejor salario y ser capaces de organizar un mejor trabajo ellos mismos.

Es una pena el estado de como tienen muchas de las cosas, los datacenters en las oficinas de la Gene dan pena todos sin excepcion, el cloud de IBM es un petardo, buena suerte intentar correr k8s ahi, los servicios on-site y de soporte, a precios exhorbitados, otro ejemplo es el certificado digital catalan, una cosa infumable que no sirve para nada y desfasada.

Al final lo que repercute es directamente al propio dinero de los catalanes absolutamente mal gestionado para el servicio que se da, nada nuevo... la frase debería ser: Els catalans ens robem. (y soy catalan)

#52 Es que es gris, salvo pequeños destellos de luz.

#5 si te descuidas y la contrata era indra precarios s.l , podrian estar perfectamente en una excel

#61 ñiñiñiñiñiñi
Ponte lo quisquilloso que quieras pero es exactamente como dice #50

#60

#2 no te llegas ni a imaginar la de empresas que guardan sus contraseñas en texto plano

#65 Eso que cuentas no es nivel cataluña, es nivel españa, es la forma de proceder a nivel informatico de todo el pais.

#62 En ningún sitio, se guarda su hash en la bdd

#65 Yo he llegado a contar 6 hasta niveles de subcontratación para que al final, el "ingeniero" fuera un chavalito que no sabría ni reinstalar su propio PC

#63 ¿Pero qué clase de trauma tienes con Cataluña? Algún catalán te robó la novia?

Toma, aquí tienes una de tu querida comunidad, de hace menos de un mes: www.elconfidencial.com/tecnologia/2020-10-31/comunidad-madrid-brecha-d

#30 No son solo son preocupantes las contraseñas, Ensenyament tiene datos personales de todos los niños de Cataluña

#22 Una cosa no me queda clara, SSO no usa OAuth?

#75 ¿Cataluña? Me encanta.

¿Los catalafachas? Me descojono de ellos y de la caterva de conversos de otras comunidades que bajan la cerviz al ultracatalanyismo.

Qué cutre ytumasismo en una noticia de cagadas de la Gene. En fin, nada nuevo cara al lazo, con una cuenta de mnm rara vez usada (probablemente clon de alguno de los de siempre).

#50 Hasheada y con una sal

Y si eres Bruce Schneier, con sal y pimienta:

www.schneierfacts.com/facts/671

#78 No soy clon de nadie fachi español. La tienes metida muy adentro con Cataluña, solo hace falta ver tus mensajes. Cuando una noticia deja en ridículo a la CAM o Madrid, te escondes en una cueva o votas negativo la noticia. Tu solo sales de la cueva para hablar de Cataluña

#80 claro, claro mi converso extremeño querido.

Le diré a tu jefe de célula de la ANC que ya has llorado a desconocidos por internet en noticias que dejan mal a los catalafachas y ya puede darte tu galletita . A lo mejor te deja lamerle las botas y todo

Los dinerales que pagamos por la infraestructura tecnológica en Europa, para que al final lo acabe haciendo todo el becario recién salido de la universidad.

#1 Los idiotas hasta saben escribir.

#5 MD5 es demasiado complicado, un base64 mejor.

#81 No haces más que decir disparates. Ahora tengo ascendencia extremeña o lo que sea
Y por supuesto seguro que estoy involucrado con la ANC

Sigue probando.

Que tengas un buen día, y no tengas pesadillas por la noche con puchi

#43 que sosos

Hay que ser cutre para que te hagan un ataque por SQL Injection

La Nasa Catalana .

La contraseña más frecuente fué: puchi1234

#73 ah ok, entiendo hash como validación de contraseña
pero algo se debe guardar
entendí que no se guardaba nada (ni el hash)
si es así, entendido
positivo para tí

#12 Dice la leyenda que si lees la noticia tus dudas quedarán resueltas.

#57 Para ser más preciso el concepto de usar hashes no es para impedir que se pueda recuperar la original, sino para provocar que ese proceso de recuperación no sea inmediato en el tiempo, sino que requiera de una capacidad de computo que en el momento en que ese hash no se considera débil sea de cientos sino miles de años.

Una buena oportunidad para venderles el servicio de escaneo de seguridad.

#83 Ya veo

#84 rot13 hombre.

#77 un SSO (single sign on) puede usar cualquier protocolo para ello. El de Windows usa el AD y Kerberos.

Se pueden usar cosas como CAS, Kerberos, SAML, OAuth,OpenID...

#65 Eso es el día a día de todo.

#62 se guarda un md5 o sha de la pass en la bbdd. Pero si te pillan ese hash no sacan la pass.

#65 itnow que yo sepa no tiene nada con la Generalitat. Y te has dejado a everis, dxc, ticxcat y algunas otras.
Por otra parte, la Gene tiene su empresa con sus ingenieros (el todopoderoso CTTI) pero el problema es que el caos de aplicaciones, lenguajes, frameworks, gestores de bbdd, etc, con permanentes cambios y urgencias, es tan descomunal que aún es raro que no pasen más cosas.

Por lo demás, estoy de acuerdo contigo. Hace falta poner orden urgentemente ahí. Yo estuve trabajando unos años y salí quemadísimo de echar horas extras para corregir desastres funcionales y técnicos de todo tipo.

#43 Recuerdo cuando cifré las contraseñas de nuestros clientes y añadí sal. Mi jefe flipó con la técnica, y al rato me vino a decir que le añadiese pimienta. Había estado investigando por google.