La Generalitat de Cataluña ha sufrido una vulnerabilidad informática en al menos tres de sus páginas webs. Al menos 5.000 registros con direcciones de correos electrónicos y contraseñas han estado al descubierto por un fallo de seguridad de tipo SQL Injection, vulnerabilidad que explicaremos más adelante. El servicio de TI de la Generalitat mantiene abierta una investigación para detectar si ha habido robo de datos.
|
etiquetas: cibersecuridad , cataluña , generalitat , sql injection
¿Los catalafachas? Me descojono de ellos y de la caterva de conversos de otras comunidades que bajan la cerviz al ultracatalanyismo.
Qué cutre ytumasismo en una noticia de cagadas de la Gene. En fin, nada nuevo cara al lazo, con una cuenta de mnm rara vez usada (probablemente clon de alguno de los de siempre).
Sería muy raro que no se hiciera así a estas alturas.
Titular aséptico para maquillar lo que realmente se ha hecho.
No se, pero viendo las páginas afectadas me resulta muy raro que no hayan accedido a datos sensibles. Habrá que ver cuando se podían llevar, pero tiene pinta de que han podido hacer un volcado completo de las BBDD afectadas, y seguro que había datos "bonitos" en las mismas.
Salvo que tengas necesidades de SSO, no tiene nada de malo tenerlas en una base de datos, otra cosa es con que hash lo tengas guardado. Un SHA-384 con random salt es muuuuuy jodido de romper
A lo mejor les pusieron un puro, oye, pero no me informaron del resultado. No sé yo...
Al menos es lo que me contaron en un curso sobre esto en la agencia catalana de protección de datos.
#11 ¡Tash-Koh-Tah!
Un ejemplo:
arado.juntaex.es/laboreo/inicio.aspx
Sony:
www.abc.es/tecnologia/abci-entrevista-sony-201104290000_noticia.html
Nintendo:
www.vidaextra.com/nintendo-switch/nintendo-confirma-que-160-000-cuenta
Y había otra mas, no encuentro la noticia pero lo lei en meneame, en un evento de nintendo los administradores usaron la contraseña 1234 y también les dieron.
El artículo cita una librería desactualizada y un caso similar de robo de contraseñas en Vueling.
Creo recordar que en aquel caso fue más bien un keylogger que enviaba los datos del formulario a otro servidor.
El tema funciona a grandes rasgos así: cuando el usuario introduce la contraseña en la pantalla de log in (por ejemplo), se compara el hash almacenado con el hash de la contraseña del usuario. El algoritmo de hashing (debería) ser unidireccional, por lo que un atacante que se hiciese con esos hashes no sería capaz de suplantar a los usuarios afectados.
Eso te vale lo mismo en una base de datos, en LDAP o ficheros de texto. Como en una auditoría te cacen con contraseñas en texto plano, te puede caer un multón de impresión.
Edit: no te había leído bien el segundo párrafo, veo que ya sabías todo eso
Vamos, lo que dice #36. Otra cosa es que sea una salvajada (y hay muchas).
Hasheada y con una sal. Pero todo el mundo la almacena en la base de datos.
Yo no llamaría ataque a un sql inyection ... un ataque es otra cosa.
Creo recordar que cuando eso no se implementa correctamente (que haya una relación biyectiva entre dato original y hash) se puede usar para intentar adivinar. Aparte de que haya funciones más o menos "adecuadas" para transformar el dato en hash.
Hasta mi sobrino de 12 años sabe hacer un sql inyection... espero que las cloacas sean algo más sofisticadas que eso
La denuncia era principalmente por no hacer uso del BCC, pero también por spam no solicitado (nunca me registré en dicho sitio).
#42 Veo que no entiendes del tema.
si no se guarda en la BdD.... (Encriptada evidentemente)
donde se guarda?
Basicamente, no hay nadie con dos dedos de frente dentro de la Generalitat que sea capaz de llevarlo correctamente. Lo tienen TODO subcontratado y el pastel repartido entre: IBM, LaCaixa(ITNow), Sermicro (corteingles y demas empresas paralelas), T-Systems, desconozco si Indra tiene algo, pero no me extrañaria. Y a la vez, cuelgan dos, tres, o todas las sub-subcontratas que hagan falta de estas ramas.
Básicamente lo que hacen es dividirlo todo entre estos proveedores, y dejar que se peleen entre ellos a un sobrecoste exhorbitado. Si realmente alguien quisiera arreglar eso deberían de crear una unidad core de ingenieros dentro de la Generalitat, que hay gente de sobras en tierras Catalanas y con necesidad de trabajo. Pero lo que hay son trepas apoltronados en sillas que les es mas fácil subcontratar e ir a tomar su cafe a las 11.00 y que se coman el marron las subcontratas.
Al final tienen ingenieros haciendo un trabajo de pena contratados por sueldos miseros en una de estas subcontratas, mientras las subcontratas se llevan gran parte del pastel por un trabajo nefasto. Esos mismos ingenieros contratados directamente de alguna manera por la Generalitat podrian optar a un mejor salario y ser capaces de organizar un mejor trabajo ellos mismos.
Es una pena el estado de como tienen muchas de las cosas, los datacenters en las oficinas de la Gene dan pena todos sin excepcion, el cloud de IBM es un petardo, buena suerte intentar correr k8s ahi, los servicios on-site y de soporte, a precios exhorbitados, otro ejemplo es el certificado digital catalan, una cosa infumable que no sirve para nada y desfasada.
Al final lo que repercute es directamente al propio dinero de los catalanes absolutamente mal gestionado para el servicio que se da, nada nuevo... la frase debería ser: Els catalans ens robem. (y soy catalan)
Ponte lo quisquilloso que quieras pero es exactamente como dice #50
Toma, aquí tienes una de tu querida comunidad, de hace menos de un mes: www.elconfidencial.com/tecnologia/2020-10-31/comunidad-madrid-brecha-d
¿Los catalafachas? Me descojono de ellos y de la caterva de conversos de otras comunidades que bajan la cerviz al ultracatalanyismo.
Qué cutre ytumasismo en una noticia de cagadas de la Gene. En fin, nada nuevo cara al lazo, con una cuenta de mnm rara vez usada (probablemente clon de alguno de los de siempre).
Y si eres Bruce Schneier, con sal y pimienta:
www.schneierfacts.com/facts/671
Le diré a tu jefe de célula de la ANC que ya has llorado a desconocidos por internet en noticias que dejan mal a los catalafachas y ya puede darte tu galletita . A lo mejor te deja lamerle las botas y todo
Y por supuesto seguro que estoy involucrado con la ANC
Sigue probando.
Que tengas un buen día, y no tengas pesadillas por la noche con puchi
pero algo se debe guardar
entendí que no se guardaba nada (ni el hash)
si es así, entendido
positivo para tí
Se pueden usar cosas como CAS, Kerberos, SAML, OAuth,OpenID...
Por otra parte, la Gene tiene su empresa con sus ingenieros (el todopoderoso CTTI) pero el problema es que el caos de aplicaciones, lenguajes, frameworks, gestores de bbdd, etc, con permanentes cambios y urgencias, es tan descomunal que aún es raro que no pasen más cosas.
Por lo demás, estoy de acuerdo contigo. Hace falta poner orden urgentemente ahí. Yo estuve trabajando unos años y salí quemadísimo de echar horas extras para corregir desastres funcionales y técnicos de todo tipo.