"Las investigaciones están apuntando a como hemos comentado anteriormente al empleado de Orange que almacenada la contraseña en su ordenador que fue infectado"

Malditos empleados que no saben guardar contraseñas débiles

Yo uso la misma contraseña en todos sitios así, si me la roban, me quedan copias sin robar en otras webs.

De hecho, es bastante aleatoria, solo diré que empieza por "qwer..." Es imposible que la rompan.

Jaque mate, hackers

#2 pero no todos tenemos conocimientos avanzados. Podrías ofrecer un curso de juanquer profesional, yo pagaría lo que fuera.

John the ripeadmin

#4 Como meneante promedio soy experto en el tema que quieras. Puede juanquear desde un ordenador de la NASA hasta un móvil chino de los más baratos. Mi habilidad no tiene parangón.

Da igual que la contraseña sea compleja si lo que sucedió es que la robaron.

Veo dos problemas: contraseñas débiles y otros problemas de seguridad.

Si le han instalado un keylogger al empleado han conseguido todas sus contraseñas. Lo repito todas. Y quizás no sea el único. Lo de RIPE es grabe porque en un solo sitio y con muy pocos cambios pueden desconectar una red completamente de Internet. Pero vamos, que pueden tener sus contraseñas internas de empleado para ver sus nóminas, administrar otros servicios de Vodafone a los que tenga acceso de administrador, e incluso cosas personales si las ha abierto desde ese ordenador.

#6 yo, con detectar Unix como la niña de parque Jurásico me daba con un canto en los dientes.

#3 exactamente, si el malware la leyo, daba igual que fuese una contraseña de 40 digitos, y no, las contraseñas no se almacenan en texto plano.

#7 yo lo que me pregunto es como lograron instalarle el malware. pero tambien he de decir, si no lo hace ripe tendria que mandar un email cuando alguien se conecta a la cuenta, leñe hasta el wordpress mas simple lo hace.

#9 eso la teoría. Yo he visto contraseñas de aduanas de España escritas en un txt compartido por drive

#11 vale, reconstruyo mi frase:
el navegador no almacena las contraseñas en modo plano.

#10 Seguramente no fue el único. Me pilló de guardia en Telefónica durante el Wannacry. Con que pinche un enlace malicioso alguien vulnerable que esté conectado a la red corporativa ya es suficiente para estar dentro.

Desconozco si en este caso iban a por esta persona concreta o han entrado en la organización y han esperado con paciencia hasta que han logrado infectar a alguien que tuviese acceso a lo que les interesase.

Cita obligada xkcd.com/936/

#3 ironía

#11 O almacenadas a pelo en una tabla de MySQL. Con estos ojitos.

"For those wondering how i acquired access to the account in the first place, let me just say that the password security was very questionable.
I was just looking into public leaks of bot data and came across the ripe account with the password "ripeadmin" and no 2FA, No SE at all" Shimple

#3 No da igual, aunque solo sea por dar una imagen de normalidad en vez cuñao pica teclas.
Además cuando tienes políticas de seguridad a parte de la complejidad tienes cambios de contraseña cada poco tiempo y eso sí hubiera evitado el problema.

#2 La descartan por obvia. Más seguro, imposible.

-¿Cómo averiguó usted la contraseña?
-La contraseña era muy sencilla.
-Ah, ¿la averiguó por fuerza bruta probando contraseñas débiles?
-No, conseguí el acceso a un ordenador donde estaba guardada la contraseña.

#7 Vodafone?

#3 donde he visto yo.... ah, sí
www.youtube.com/watch?v=a6iW-8xPw3k
(créditos: Mel Brooks)

#4 No hace falta que pagues. #2 puede entrar en tu cuenta, gracias a la penosa contraseña que tienes todavía, coger lo que cuesta el curso (por suerte es honrado) y cerrar al salir. Así te ahorra las molestias y por fin tendrás una contraseña como dios manda.

¡Increíble hazaña del hacker! Este genio tecnológico merece reconocimiento por destacarse en el mundo digital. Desafiando las barreras, mostró la vulnerabilidad en la seguridad de Orange España, instigando a la reflexión sobre la importancia de fortalecer nuestras defensas cibernéticas. En lugar de condenarlo, podríamos aprender de sus habilidades para construir un entorno más seguro y resistente en el ámbito tecnológico. ¡Un auténtico pionero digital!

#11 yo he visto gente presentando en una reunión de teams y al compartir si pantalla mostrar un Excel con usuario y password para todas sus aplicaciones

Yo en algunas contraseñas he empezado a poner en un documento en el PC "la tengo como fotografía en el móvil el día tal" (No guardo las fotos en la nube). Con lo cual aparte de acceder a mi PC tendrían que robarme el móvil.

#24 A mi me hace gracia esta gente que desde el anonimato de su casa se dedica a joderle la vida a los demás por el mero hecho de que éstos no están suficientemente protegidos o han cometido errores.

Encima lo envuelven todo en una especie de capa de Robin Hood como si por ejemplo en este caso hubiesen puesto en su sitio a un señor rico y malo gordo con chistera llamado Sr Orange cuando en realldad le habrán jodido la semama a curritos informáticos echando 200 horas extras y sudando tinta así como a clientes finales al azar.

Es como si yo fuese por la vida buscando "fallos de seguridad" allá por donde fuese:
- chalet que veo sin seguridad, me cuelo dentro, provoco destrozos, me cago en la cama y toda la culpa es del dueño por no tener un buen sistema de seguridad. La culpa es suya.

- Kiosko de estos abiertos con muchos periódicos por todos lados, me dedico a mearle y romperle los periódicos de los extremos que no puede ver el kiosquero y por supuesto la culpa es suya por no tener un sofisticado sistema de cámaras controlando el 100% de los periódicos.

- Y a todos los viandantes que tengan algo que yo les pueda sustraer por supuesto que lo haré y tiraré sus enseres por la alcantarilla para que aprendan a ser mas cautelosos.

Y todo esto por supuesto me convierte en un héroe que les estoy convirtiendo en mejores personas haciéndoles ver sus puntos débiles.

Esta puta gente debería salir del sótano de su madre y comprarse una vida.

#27 Comprendo tu perspectiva, pero hay que admitir que estos hackers, aunque polémicos, desafían las normas establecidas y señalan las deficiencias en la seguridad. Su enfoque puede ser cuestionable, pero al poner a prueba la vulnerabilidad, nos instan a mejorar constantemente nuestras defensas. Quizás, en lugar de condenarlos, podríamos canalizar esa energía hacia fortalecer la seguridad informática y garantizar que todos estemos mejor protegidos. Es un recordatorio de que vivimos en un mundo digital en constante evolución y necesitamos adaptarnos para resistir las amenazas emergentes.

#26 Pues no pierdas el móvil...

#28 Pero perfectamente podria haber conseguido la password y avisado a Orange de la vulnerabilidad e incluso una vez mitigada dicha vulnerabilidad se podria haber pavoneado en sus foros de la hazaña que a la que no quito mérito.

¿Por qué tiene que haberlo destrozado todo y perjudicado de esa manera a muchísima gente inocente?. Eso denota graves problemas sociales, de empatía y de autoestima que bien los podia tratar de otro modo.

#2 la verdad es que yo uso la misma contraseña en todos los sitios mierder. Entre los que no está meneame...

#30 Tal vez, este hacker buscaba generar un impacto significativo para llamar la atención sobre la importancia de la seguridad cibernética. Aunque no justifica sus acciones, su enfoque radical puede servir como un recordatorio severo de las consecuencias potenciales de ignorar la seguridad en línea.

#28 #32 Que no!

Van ha echar a la calle a dos o tres tíos por semejante “hazaña” que seguramente estaban hiperjodidos previamente, tanto en el trabajo, como en su vida, debido al estres provocado por el cutre trabajo.

Y le ha jodido el pronhub a muchos adolescentes españoles en vacaciones de Navidad.

Aprendizaje colectivo: NINGUNO

Buen trabajo

#29 ya te digo, espero que almenos haga copias en local porque si no, no se como puede conciliar el sueño 

#3 Lo de siempre, la seguridad de una organización reside en su eslabón más débil.

Borro por no aportar nada nuevo a lo que ya pone en el artículo

#3 antivirus? doble factor?
Si mínimamente se sabe lo que se hace, no se necesita nada de eso. Sólo sentido común y keepass o similar...

El hacker no explica nada, es la misma noticia que lleva dando vueltas varios días.

#32 y dándose prestigio a sí mismo como hacker, lo que, posiblemente, le genere no pocas oportunidades laborales en el mundo de la seguridad informática

#22 mierda! ahora tendré que cambiar la contraseña de mis maletas!

#9 ...quieres decir, no debieran almacenarse en texto plano. Admin/root de un gobierno autonómico, texto plano.  Ni salt ni ...azucar. 

Hasta donde yo sé, es LA hacker. Es interesante ver estos micromachismos y que periódicos supuestamente de primer nivel no hagan el mínimo esfuerzo por ver quien es el protagonista de las noticias.  

#32 No se justifica en absoluto ir dando lecciones de seguridad a gente anónima que no te las ha pedido a base de causarles un perjuicio significativo. Encima con esos aires de superioridad moral de "y agradeceme que no te haya hecho más"


Que te parece si una mañana vas a la calle a coger tu coche y lo ves con las 4 ruedas pinchadas, los asientos rajados y dentro una nota que reza:

" He visto que has dejado el coche en una calle con poca vigilancia y te he hecho esto para que te des cuenta de ello. Un atacante malicioso te podría haber robado o quemado el coche. Te he hecho esto para que aprendas la lección y mejores tu seguridad."

¿Cómo te tomarías esa lección gratuita y anónima?

El problema del hacking es que gracias al cine, comics, libros etc.. está envuelto en un aura de romanticismo, de David contra Goliat, de gente de la calle cambiando el mundo y poniendo en su sitio a las grandes corporaciones malvadas.

Cuando todos estos actos en realidad son provocados por gentuza con problemas que quieren alimentar su ego o su autoestima a base de joder a gente anónima e inocente.

Y encima hay que estarles agradecidos por sus radicales acciones contra el sistema establecido...

#16 #25 #42 goto #12

Aquí S4vitar explica muy bien cómo sucedió: youtu.be/6AqNGwU45-w?si=neG-X0K_egnBWHuP

#44 Debemos reconocer la audacia del hacker por desafiar el status quo! Aunque sus métodos puedan parecer radicales, es crucial entender que su motivación podría ser exponer la fragilidad de la seguridad en línea que a menudo pasamos por alto. No es justo catalogar a todos como "gentuza con problemas", ya que algunos pueden estar impulsados por un deseo genuino de mejorar la conciencia sobre la seguridad cibernética. Agradecerles por sus acciones puede ser exagerado, pero no podemos ignorar el impacto que generan al destacar las debilidades sistémicas que necesitan ser abordadas

#21 Un lapsus. Por lo visto acabo de descubrir que para mi son iguales Orabge y Vodafone. Es pensar en una y escribir el nombre de la otra.

#46 creo que merece hacer envío y poner relacionada.

#5 tenemos una edad ya, eh?

Entonces como se puede hacer se hace? Y si se hubiera quedado quietecito?

#47 Pero es que hay que distinguir 2 cosas:

1 - La capacidad de colarte en un sistema.

2 - El destrozo y daño gratuito que provoques una vez te hayas colado dentro.

Todo lo que comentas de la audacia y desafío iría dentro del punto 1. Y basta con coger una prueba fehaciente de la entrada en el sistema para que los administradores de ese sistema se pongan las pilas y cierren la puerta.

¿De que vale el daño y destrozo gratuito del segundo punto?. Vas a hacer perder a los trabajadores de esa empresa incontables horas en rehacer el destrozo además de las horas invertidas en tapar la falla de seguridad?. Cual es la motivación de ese daño gratuito y cobarde amparado en el anonimato?. Eso no es ser audaz ni inteligente. Ahi ya entran las maldades y movidas psicologicas de cada uno porque la audacia e inteligencia reside en haberse colado y conseguido permisos totales. Ya después ejecutar 4 comandos y cargarselo todo eso lo puede hacer cualquiera así que ahi ya dejan de demostrar su valía.

¿Quien es capaz de colarse en el museo de Louvre y desactivar todas las alarmas? Muy muy poca gente.

¿Quien es capaz de destrozar los cuadros del Louvre con un bate de beisbol una vez todas las alarmas han caído?. Cualquiera con maldad y dos brazos.

#38 Si tienes un spyware te va a dar igual.

Quizas el acceso remota a la LAN de gestión solo debería de estar permitido a través de una VPN con certificado digital además del user/pass habitual.
De esa manera aunque el spyware averigüe las credenciales daría lo mismo.

Robo un coche, lo estampo contra una tienda de Orange y me llevo un montón de móviles.
Y encima me aplauden como hacker por haber demostrado la facilidad con la que se roba un coche, se rompe un escaparate y se puede uno llevar un montón de móviles.

#26 y descargar las fotos al PC ya tal.

#54 lo de "quizá" sobra.

Pero es lo de siempre, sacar toda la pasta que se pueda del chiringo y contratar baratico, que si surge algo gordo, pues un par de tiritas en la herida y a currar to dios.

#57 Si es que lo más triste es que son medidas que hoy día están al alcance de cualquiera y además no son caras.
Espero que a Orange le metan una buena multa.

#30 No es la primera vez que un hacker avisa a la compañía varias veces y sudan de su culo así que si el tío se cabreó pudo haber dado un puñetazo en la mesa y exponerles el culo para que tomen cartas. Las compañías por lo general son conscientes de sus debilidades pero se escudan en que "nadie" las va a ver y hacen oídos sordos hasta que hay un desastre.

#52 No exageres que este tío lo que ha hecho ha sido como si estás jugando al PC y él te lo apaga, no te ha destrozado la casa. Cabreo sí pero se supone que las compañías tienen que currarse la seguridad de su empresa y con más razón si guardan información importante. El equivalente es colarse en el louvre y poner un post it diciendo "la próxima vez no pongáis 1234 como contraseña de seguridad".

Y las empresas funcionan por el sistema del grito, si no grita nadie todo está bien

#2 Hacker mate

Si hay un tío que ha acertado el número del Gordo de la lotería de Navidad y también la del Niño, ¿pa qué vamos poner contraseñas? Creo que voy a dedicar mis esfuerzos en ver cómo crecen mis bonsais...

#60 Perdona pero para nada es como apagar un PC. Esto es otro error que la gente comete que cree que como todo son datos y redes y se termina recuperando con el tiempo pues aquí no ha pasado nada.

Las pérdidas económicas muchas veces superan las de la destrucción física de un coche o una casa y máxime en esta era en la que todo está conectado.

Y en este caso no sólo han sido las pérdidas para Orange sino tb para sus clientes que se han quedado sin conectividad.

Y todo por un señorito que va dando lecciones a la gente a base de joderles desde su casita.

#26 y si se rompe el móvil?

#43 será la protagonista. Pecas de lo que te quejas

#65 Me refería al caso general cuando hablaba de micromachismos en plural. El de la noticia es solo uno de los casos donde periodistas supuestamente profesionales no han hecho ni lo mínimo.

#29 Si pierdo el movil y no recordara la contraseña, pongo una incidencia y que me reseteen la contraseña. Que son varias las contraseñas que tengo que manejan pero ninguna es critica que se pare la empresa si no la recuerdo.

#35 Si pierdo el movil y no recordara la contraseña, pongo una incidencia y que me reseteen la contraseña. Que son varias las contraseñas que tengo que manejan pero ninguna es critica que se pare la empresa si no la recuerdo.

Yo lo comente por si alguien me decia algo para ayudar a hacerlo mejor. Espero que tu comentario sea ironico.

#56 Cuando paso las fotos al PC, cuido de dejarlas en el movil, nunca me vuelco todas las fotos a lo loco.

#64 Si pierdo el movil y no recordara la contraseña, pongo una incidencia y que me reseteen la contraseña. Que son varias las contraseñas que tengo que manejar pero ninguna es critica que se pare la empresa si no la recuerdo.

#13 twitter.com/1ZRR4H/status/1744072499908735128 el gilipollas se instalo un kmspico falso.

#67 Bueno, si a ti te va bien. Cada uno tiene su manera de hacer las cosas

#63 Es mi opinión sin más.

Si las empresas pusieran cuidado en estas cosas no sería necesario que nadie hiciera nada pero como te digo, las empresas funcionan con la técnica del grito y hasta que no hay un desastre serio (y un grito), no se toman medidas, les da igual tener un agujero de seguridad como una catedral mientras nadie se queje, luego hay un ataque de verdad y a llorar todos. No veo que sea igual a si te pegan una pedrada en tu casa para decirte que debes mejorar en seguridad, es que has pagado a una empresa y ésta ha dejado las puertas abiertas y las ventanas con un cartel de neón que pone "robe aquí". Les señalan que protejan el hall que da a la casa de todos y ellos han pasado totalmente de ti por lo que un toque de atención no viene mal, que como dices en esta era tan conectada las pérdidas económicas pueden ser muy grandes con lo que si encima de pagar a una empresa, ésta no pone las medidas oportunas para proteger tu red aun diciéndoles las vulnerabilidades, un susto como éste y miles de usuarios cabreados les espabilarán. A la próxima que hagan su trabajo que proteger la red también es su trabajo.

#73 Entonces crees que si el hacker sin haber causado ningún estropicio llega a avisar a la empresa tipo "Mira he robado estas credenciales de esta forma, esta es la prueba.." y la empresa no hace nada hasta que no les causan un estropicio?.

Seguro que esa información llegaba rápidamente a los admin del sistema y se pondrían manos a la obra enseguida para tapar ese agujero ya que saben a ciencia cierta el daño que eso puede causar en manos de un atacante malicioso. No hace falta demostrarselo causando severos daños.

Pero como bien dices, son opiniones.

#14 Esa es la que uso yo.

#27 #28 No creo que sea algo del todo comparable al mundo no-digital, pero no me imagino que nadie vea con buenos ojos a alguien que vaya puerta por puerta empujando por si alguien se ha dejado la puerta abierta, y que le haga alguna putada en casa si resulta ser así.

#71 A ver si me entero.
¿En un ordenador corporativo con acceso a cosas importantes (¡!) necesitaba un crakeador de activación del Windows? ¿La empresa no instala windoze legalmente? ¿Orange usa Windows pirata?

Pues ya les vale.

¿O ese ordenador era un ordenador donde guardaba las contraseñas a los ordenadores de trabajo? Que también le vale, no tenerlo legal.

¿O estaba descargando cosas para casa, usando la red corporativa? ¿Y la red corporativa le dejó hacer esa descarga e instalarlo? Pues vaya, también les vale.

#77 yo creo que mas bien de office, pero si, menudo monton de despropopositos.

#74 Mas bien "eh, tienes esta vulnerabilidad, mira se puede robar así" Y la empresa pasa de él. Esto ya ha pasado antes por eso lo digo e incluso han denunciado a alguno que les ha mostrado las vulnerabilidades sin haber hecho nada ilegal. Para las empresas esos agujeros de seguridad es tiempo y dinero que tienen que dedicar (sobretodo dinero) por lo que si un "outsider" es capaz de señalarles un fallo así, no les hace ninguna gracia (implica mas dinero y tiempo que no quieren dedicar) y han llegado a amenazar a más de uno por estas cosas (la información vale dinero y esas cosas). Como dije, las empresas confían mucho en que la gente no sabe nada de informática y si le sumas lo mal pagadas que están las cárnicas que hacen esos sistemas y aplicaciones tienes verdaderos agujeros de seguridad que no pasan a mayores porque muy poca gente tiene tiempo y conocimiento para explotarlo para su beneficio.

Las empresas se mueven por "lo mas barato" y aquí en meneame te pueden contar pufos de todo tipo incluso de administraciones de aquí para que veas hasta donde llega el problema porque entre otras cosas, quienes deciden no suelen saber nada de informática.