Ha sido el propio hacker en su cuenta de X, y encima mencionando a Orange, el que ha explicado con detalle como se ha infiltrado en la cuenta del RIPE de Orange afirmando que la "seguridad de la contraseña es muy cuestionable". Incluso, ha publicado un vídeo donde se ve como accede y visualiza los diferentes registros de las IP del operador. Relacionada:
menea.me/2bg0i
Esto no fue un problema de complejidad de contraseñas, es un problema de no tener doble factor, de almacenarlas en texto plano/no tener antivirus
Malditos empleados que no saben guardar contraseñas débiles
De hecho, es bastante aleatoria, solo diré que empieza por "qwer..." Es imposible que la rompan.
Jaque mate, hackers
Esto no fue un problema de complejidad de contraseñas, es un problema de no tener doble factor, de almacenarlas en texto plano/no tener antivirus
Veo dos problemas: contraseñas débiles y otros problemas de seguridad.
Si le han instalado un keylogger al empleado han conseguido todas sus contraseñas. Lo repito todas. Y quizás no sea el único. Lo de RIPE es grabe porque en un solo sitio y con muy pocos cambios pueden desconectar una red completamente de Internet. Pero vamos, que pueden tener sus contraseñas internas de empleado para ver sus nóminas, administrar otros servicios de Vodafone a los que tenga acceso de administrador, e incluso cosas personales si las ha abierto desde ese ordenador.
el navegador no almacena las contraseñas en modo plano.
Desconozco si en este caso iban a por esta persona concreta o han entrado en la organización y han esperado con paciencia hasta que han logrado infectar a alguien que tuviese acceso a lo que les interesase.
I was just looking into public leaks of bot data and came across the ripe account with the password "ripeadmin" and no 2FA, No SE at all" Shimple
Además cuando tienes políticas de seguridad a parte de la complejidad tienes cambios de contraseña cada poco tiempo y eso sí hubiera evitado el problema.
-La contraseña era muy sencilla.
-Ah, ¿la averiguó por fuerza bruta probando contraseñas débiles?
-No, conseguí el acceso a un ordenador donde estaba guardada la contraseña.
www.youtube.com/watch?v=a6iW-8xPw3k
(créditos: Mel Brooks)
Encima lo envuelven todo en una especie de capa de Robin Hood como si por ejemplo en este caso hubiesen puesto en su sitio a un señor rico y malo gordo con chistera llamado Sr Orange cuando en realldad le habrán jodido la semama a curritos informáticos echando 200 horas extras y sudando tinta así como a clientes finales al azar.
Es como si yo fuese por la vida buscando "fallos de seguridad" allá por donde fuese:
- chalet que veo sin seguridad, me cuelo dentro, provoco destrozos, me cago en la cama y toda la culpa es del dueño por no tener un buen sistema de seguridad. La culpa es suya.
- Kiosko de estos abiertos con muchos periódicos por todos lados, me dedico a mearle y romperle los periódicos de los extremos que no puede ver el kiosquero y por supuesto la culpa es suya por no tener un sofisticado sistema de cámaras controlando el 100% de los periódicos.
- Y a todos los viandantes que tengan algo que yo les pueda sustraer por supuesto que lo haré y tiraré sus enseres por la alcantarilla para que aprendan a ser mas cautelosos.
Y todo esto por supuesto me convierte en un héroe que les estoy convirtiendo en mejores personas haciéndoles ver sus puntos débiles.
Esta puta gente debería salir del sótano de su madre y comprarse una vida.
¿Por qué tiene que haberlo destrozado todo y perjudicado de esa manera a muchísima gente inocente?. Eso denota graves problemas sociales, de empatía y de autoestima que bien los podia tratar de otro modo.
Van ha echar a la calle a dos o tres tíos por semejante “hazaña” que seguramente estaban hiperjodidos previamente, tanto en el trabajo, como en su vida, debido al estres provocado por el cutre trabajo.
Y le ha jodido el pronhub a muchos adolescentes españoles en vacaciones de Navidad.
Aprendizaje colectivo: NINGUNO
Borro por no aportar nada nuevo a lo que ya pone en el artículoSi mínimamente se sabe lo que se hace, no se necesita nada de eso. Sólo sentido común y keepass o similar...
Que te parece si una mañana vas a la calle a coger tu coche y lo ves con las 4 ruedas pinchadas, los asientos rajados y dentro una nota que reza:
" He visto que has dejado el coche en una calle con poca vigilancia y te he hecho esto para que te des cuenta de ello. Un atacante malicioso te podría haber robado o quemado el coche. Te he hecho esto para que aprendas la lección y mejores tu seguridad."
¿Cómo te tomarías esa lección gratuita y anónima?
El problema del hacking es que gracias al cine, comics, libros etc.. está envuelto en un aura de romanticismo, de David contra Goliat, de gente de la calle cambiando el mundo y poniendo en su sitio a las grandes corporaciones malvadas.
Cuando todos estos actos en realidad son provocados por gentuza con problemas que quieren alimentar su ego o su autoestima a base de joder a gente anónima e inocente.
Y encima hay que estarles agradecidos por sus radicales acciones contra el sistema establecido...
1 - La capacidad de colarte en un sistema.
2 - El destrozo y daño gratuito que provoques una vez te hayas colado dentro.
Todo lo que comentas de la audacia y desafío iría dentro del punto 1. Y basta con coger una prueba fehaciente de la entrada en el sistema para que los administradores de ese sistema se pongan las pilas y cierren la puerta.
¿De que vale el daño y destrozo gratuito del segundo punto?. Vas a hacer perder a los trabajadores de esa empresa incontables horas en rehacer el destrozo además de las horas invertidas en tapar la falla de seguridad?. Cual es la motivación de ese daño gratuito y cobarde amparado en el anonimato?. Eso no es ser audaz ni inteligente. Ahi ya entran las maldades y movidas psicologicas de cada uno porque la audacia e inteligencia reside en haberse colado y conseguido permisos totales. Ya después ejecutar 4 comandos y cargarselo todo eso lo puede hacer cualquiera así que ahi ya dejan de demostrar su valía.
¿Quien es capaz de colarse en el museo de Louvre y desactivar todas las alarmas? Muy muy poca gente.
¿Quien es capaz de destrozar los cuadros del Louvre con un bate de beisbol una vez todas las alarmas han caído?. Cualquiera con maldad y dos brazos.
De esa manera aunque el spyware averigüe las credenciales daría lo mismo.
Y encima me aplauden como hacker por haber demostrado la facilidad con la que se roba un coche, se rompe un escaparate y se puede uno llevar un montón de móviles.
Pero es lo de siempre, sacar toda la pasta que se pueda del chiringo y contratar baratico, que si surge algo gordo, pues un par de tiritas en la herida y a currar to dios.
Espero que a Orange le metan una buena multa.
Y las empresas funcionan por el sistema del grito, si no grita nadie todo está bien
Las pérdidas económicas muchas veces superan las de la destrucción física de un coche o una casa y máxime en esta era en la que todo está conectado.
Y en este caso no sólo han sido las pérdidas para Orange sino tb para sus clientes que se han quedado sin conectividad.
Y todo por un señorito que va dando lecciones a la gente a base de joderles desde su casita.
Yo lo comente por si alguien me decia algo para ayudar a hacerlo mejor. Espero que tu comentario sea ironico.
Si las empresas pusieran cuidado en estas cosas no sería necesario que nadie hiciera nada pero como te digo, las empresas funcionan con la técnica del grito y hasta que no hay un desastre serio (y un grito), no se toman medidas, les da igual tener un agujero de seguridad como una catedral mientras nadie se queje, luego hay un ataque de verdad y a llorar todos. No veo que sea igual a si te pegan una pedrada en tu casa para decirte que debes mejorar en seguridad, es que has pagado a una empresa y ésta ha dejado las puertas abiertas y las ventanas con un cartel de neón que pone "robe aquí". Les señalan que protejan el hall que da a la casa de todos y ellos han pasado totalmente de ti por lo que un toque de atención no viene mal, que como dices en esta era tan conectada las pérdidas económicas pueden ser muy grandes con lo que si encima de pagar a una empresa, ésta no pone las medidas oportunas para proteger tu red aun diciéndoles las vulnerabilidades, un susto como éste y miles de usuarios cabreados les espabilarán. A la próxima que hagan su trabajo que proteger la red también es su trabajo.
Seguro que esa información llegaba rápidamente a los admin del sistema y se pondrían manos a la obra enseguida para tapar ese agujero ya que saben a ciencia cierta el daño que eso puede causar en manos de un atacante malicioso. No hace falta demostrarselo causando severos daños.
Pero como bien dices, son opiniones.
¿En un ordenador corporativo con acceso a cosas importantes (¡!) necesitaba un crakeador de activación del Windows? ¿La empresa no instala windoze legalmente? ¿Orange usa Windows pirata?
Pues ya les vale.
¿O ese ordenador era un ordenador donde guardaba las contraseñas a los ordenadores de trabajo? Que también le vale, no tenerlo legal.
¿O estaba descargando cosas para casa, usando la red corporativa? ¿Y la red corporativa le dejó hacer esa descarga e instalarlo? Pues vaya, también les vale.
Las empresas se mueven por "lo mas barato" y aquí en meneame te pueden contar pufos de todo tipo incluso de administraciones de aquí para que veas hasta donde llega el problema porque entre otras cosas, quienes deciden no suelen saber nada de informática.