#1 No los compara en ningún sitio, tan solo dice que los bugs existen y que pueden ser de muchas formas.

No me voy a detener en citar los más de 1.000 bugs publicados este mes en productos de Microsoft, Oracle, Apple y demás compañías tecnológicas, porque creo que los que trabajamos en seguridad sabemos que este es nuestro día a día. Los bugs aparecen inducidos por muchas causas.

A veces simplemente por error humano. A veces por error en el proceso. A veces por cambios en el software base. A veces por cambios en la configuración. A veces por que simplemente no se pensaban posibles. Estos últimos son los que más me gustan, y denotan una maravilla tecnológica, como BEAST o CRIME contra HTTPs o Spectre & Meltdown contra los micros. Auténticas obras de arte.

Pataleta del gorritos de Telefónica.

Facuo como siempre buscando protagonismo.

#6 En realidad es pelea de divas...

#7 Pues te voy a dar la razón. Lucha de egos.

#9 Es que me da que es más "showman" que otra cosa...

#2 calvus detected

#2 No es un gorro, realmente es un pasamontañas que se encasqueta cada vez que pasa al Lado del Mal y se pone a hackear

Joder, el tío este es bastante showman, está claro. Ha vivido y vive (muy bien, parece) de su imagen, que hay que reconocer que se ha ganado con cierta competencia técnica bien explotada. No es precisamente santo de mi devoción, pero en este caso tengo que darle la razón. Los de Facua han ido directamente a darse publicidad a costa de una empresa que saben que no es precisamente la mejor valorada en España, y se han comportado de una manera muy poco profesional y bastante desleal.

#9 Es un showman que se gana la vida con esos congresos chorras donde parece que va gente no muy preparada.

Ahora no me acuerdo del nombre, pero hay uno que viene de Guru de la bolsa, y su cartera privada se habia descalabrado y se ganaba realmente la vida con charlas tipicas usanas, de tu puedes coger el control de tu vida y bla bla bla

#2 Asi no se quema el cartón.

#2 El cartón.

#9 un tío que es "una eminencia" en seguridad informática y vende su software (la FOCA) SOLO para Windows (y no para Linux. De hecho, parece que odia bastante Linux), ya te digo yo lo que sabe de informática y seguridad... NADA

#14 ¿Has leído el artículo? Alonso ha quedado como un mentiroso. Facua no se negó a informarles del fallo. Se aportan capturas de whatsapp con Serrahima.

#15 Josef Ajram... Y su empresa Ajram Capital. Y como todos los inversores de bolsa, un tirador de dados del copón.

Lo unico que envidio de este showman o personajillo de peli mala de informaticos de los 90s es el sueldazo que le tienen que estar cascando por hacer bulto en la pajareria de telefonica.

Me sorprende mucho que no sea delito penal encontrar un agujero de seguridad en la web de una empresa que permite acceder a datos de clientes y no comunicarlo a la empresa o hacerlo tarde y en rueda de prensa.

Siempre va a haber errores humanos, algunos de manual, y más en empresas tan enormes pero es más importante evitar la mala fe al explotar esos errores. No digo que sea el caso. Pero no me gusta que alguien se ponga medallitas a costa del mal ajeno. Lo más ético habría sido comunicar ese error a la empresa.

hombre si hay un bug severo es normal dar un mes de margen en cual es bug report es privado y trae el mes se hace publico .... si google da a las empresas 90 dias... rueda de prensa para anunciar un bug es ser muy hijo de puta que va a joder, facua esta enviado las señales equivocadas y solo recibirá mas odio por actuar como hijos de puta

Chemita usando su táctica de siempre de echar mierda a los demás, en este caso a Facua. Construyó su carrera así, aunque no se le puede negar su buen ojo poniéndose siempre al lado del mal que representaba la mierda de Microsoft antaño para meterse en un nicho que casi no tenía defensores, y ahora con Telefónica.

Será impresión mía, pero me da la sensación de que el Chema Alonso este no está pasando por su mejor momento en la empresa.

Entró como fichaje estrella, y desde que está en Telefónica ha habido ya dos “sustos”: el del ransomware (que provocó bastante revuelo y pérdida de productividad) y ahora este.

Y los de Facua parece que lo tuvieran apuntado y no quisieran dejarle pasar una. Porque para ser sinceros, en temas de seguridad, si descubres algo, primero avisas sin crear revuelos, y una vez que ha pasado un tiempo prudencial y ha habido tiempo para tapar el agujero, lo anuncias.

Y Facua, aunque no fuese a dar detalles, salió directo a dar una rueda de prensa. Y eso es más una “vendetta” que una forma de proceder responsable...

En fin, está claro que Facua y Chema Alonso tienen una relación bastante chunga.

#25 Exactamente.

#2 Porque si se pone turbante ya sería demasiado evidente su parecido con Gaspar Llamazares.  

#13 Pues lo tendría que llevar siempre bajado.
Siempre ha estado en el Lado del Mal. Entre Telefónica y Microsoft.

#25 Lo habitual es que se hace eso y la empresa no toca una coma a no ser que se haga público.
Si avisas una vez no hacen nada.
Si avisas dos van a por ti con sus abogados exactamente igual que si lo liberas después de haberles dado un mes y no hacer nada.
Funciona así con practicante todas las empresas. Para ellas la seguridad es solo un problema en tanto en cuanto los clientes se enteren y puedan perder dinero. Así que desde su retorcido punto de vista la inseguridad no es problema, el problema lo crea quien lo hace público. Pase una semana o un año desde el aviso.

#10 El tío llegó a currar en Microsoft, y ese es un logro que le gustaría alcanzar a muchos.

Aunque en alguna de sus conferencias habló en alguna ocasión de otra gente en España que, aunque no trabajaron en MS, montaron sus propias empresas y luego fueron compradas por multinacionales, y se podría decir que han llegado realmente lejos, aunque no impresionen tanto a los admiradores pardillos de B. Gates.

#1 "Comienza con un post de Chema Alonso en su blog, El Lado del Mal, en el que, primero, explica muy bien el origen del problema".

No leáis más. Si los de FACUA hicieron un denuncia pública para no pillarse los dedos, se puede juzgar mejor o peor, en este caso lograron el objetivo de sensibilizar sobre un fallo importante, que también es necesario.

Pero lo de Chema Alonso es sencillamente un intento impresentable de desviar la responsabilidad, ya sea culpando a Malvados hackers con la "URL Manipulation", que es una ridiculez inventada, ya sea FACUA, por darle publicidad, que me parece correcto si pensamos en evitar esas chapuzas en el futuro.  

#12 Lo siguiente será: ';drop database;--

#9Para eso están las def con si esperas algo de nivel o entretenerte pero de todas no pretendas que de un conferencia sobre fallos en el ACPI de un placa base y sus vulnerabilidades.
Ser un comunicador también tiene su merito y hay audiencia que no tiene puta idea pero que quieren entender algo.

#30 Por eso lo mejor es no decir nada y vender el 0-day

#30 exacto, el problema para ellos no es que exista el fallo, el problema es que se sepa, porque eso supone dar explicaciones y asumir consecuencias, y en corporaciones gordas no suelen ser habituales los jefes de departamentos y directivos honestos o íntegros, al igual que en las estructuras de gobierno.

Sólo hay un Chema Alonso, el verdadero y es de elbinario.

Bromas aparte, este tío es el Steve Jobs de los hackers, niño de papa que le monto la empresa (donde otros trabajaban para el), poco después que casualidad, le compró la empresa Timofonica y allí está de jefe (es decir sigue mancharse las manos).
Claro ejemplo de startup española.

#32 En seguridad informática informar de los detalles de un bug 60 minutos antes de una rueda de prensa es muy poco ético.

Aunque en la rueda de prensa no digan los detalles, podría haber una jauría de informáticos sin escrúpulos buscando el error y a lo mejor el error tarda en resolverse más de una horita ¿no te parece?

#31 miles de españoles trabajan en Microsoft, en sí mismo no sé en qué consiste el logro.

En cualquier caso Chema Alonso no trabajó en Microsoft, era MVP, que es otra cosa, simplemente un reconocimiento por parte de MS de que controla de cosas relativas a Microsoft. En el mundo de la seguridad informática ser MVP de Microsoft es como ir a la guía michelín diciendo que has ganado el concurso de tortilla de patata de tu pueblo.

Que no te digo yo que si la guardia civil tiene servidores Windows pues igual le ponen un medalla, igual que se la ponen a la virgen. Pero con esas credenciales en el mundo de la seguridad se reirían de él si no fuera por que no saben quién es.

Los de facua, muy mal,los bugs se reportan,sobre todo si quieres proteger a los usuarios.

El bug...un error del becario subcontratado...que se escapó a los deQA.
Pasa en las mejores familias

#21 ¿lo has leído tú? los de Facua acordaron, seguramente después de que los de Telefónica intentasen hacer entrar a los de Facua en razón, en que les darían la información del bug 60 minutos antes de la conferencia. 60 minutos.

Estos se creen que programar es como sale en las películas, que en 10 minutos tienes todo hecho, probado, con sus test unitarios y revisada la seguridad de la ñapa que acabas de hacer para que no hackeen las cuentas de varios millones de clientes en 50 minutos.

Yo solo digo que leí la discusión esta mañana en directo y ha sido lamentable, me los podía imaginar dando leches en una barra de bar. Sin entrar en el tema más a fondo.

#42 Y vosotros os debéis de creer que el departamento de informática es designado por los dioses y no está sometido a las políticas previas de la empresa, que tu empresa puede jugársela a alguien las veces que quiera y luego este debe ayudarla como si no hubiese pasado nada.

Acotaron mucho la búsqueda diciendo que era de facturación, pero porque había buena relación personal con uno, que de Movistar no se fiaban un pelo de que se la volvieran a jugar. Me parece lógico.

#40 Creí que tenía algo más importante con MS. Es más interesante que sea el director del máster de seguridad informática de la Universidad Europea de Madrid.

#24 www.elotrolado.net/hilo_hilo-oficial-caso-prueba-y-veras-adan-gecko_15

Ahí tienes el caso PRUEBA Y VERÁS de Nintendo. Un usuario de ELOTROLADO se da cuenta que se puede acceder a la base de datos del evento de Nintendo de dicho nombre, donde constan los datos de toda la gente que se apuntó.

En vez de avisar a Nintendo de forma normal, da la impresión de que quería conseguir algún tipo de compensación, escribiendo el aviso de un modo que a todas luces parece un chantaje. Total, que Nintendo le denunció.

#42 Y mientras te la chupan, como en operación swordfish

#21 Lo que comenta el artículo es acerca del mal rollo existente entre Facua y Telefónica, y cómo eso lo anteponen al problema en sí de seguridad, y que al final el tema se "resolviÓ" gracias a dos empleados que hicieron por entenderse (Serrahima y Sánchez).
Pero la actitud de Facua fue totalmente irresponsable en cuanto a ciberseguridad se refiere. Pero no, aquí la panda discutiendo si el Chemita mea entrecortado y que ellos la tienen más gorda.
cc. #14

#27 el no es responsable de seguridad. Aunque al ser un personaje mediático, siempre acaba dando la cara por esos temas. Pero detectar esos problemas es responsabilidad de otros departamentos que son ajenos al suyo.

El enchufado de facua pidiendo casito otra vez?

#39 No. Lo que es un error es ocultarlo, sobre todo algo así de grave y que lleva meses expuesto.
Se corre el riesgo de que traten de ocultarlo y que, más pronto que tarde, encuentren otro coladero y terminen explotandolo volcando toda la base de datos en Tor, que es donde estaba el problema.

Esto no es una vulnerabilidad de contar a escondidas, es algo crítico y que afecta a los clientes, que deben conocer el riesgo y que se denuncie esa falta de control en la protección de sus datos.

El problema no es el "Bug" por si mismo. Es la falta de controles y procedimientos para proteger la información de los clientes. Es mucho más grave que tapar un agujero con el dedo y disimular.

Que trabajo para microsoft? pues muy bien, sabrá mucho pero hoy por hoy es mas seguro linux, y no porque no sepan hacer un windows seguro, si no que tendrían que hacerlo de 0 y en realidad windows ha cambiado mucho y mejorado mucho pero va mejorando desde algo inseguro desde el windows 95, que nació ya inseguro, y no pueden hacerlo de 0 porque crearían muchos programas incompatibles de millones de clientes, ese es el problema que tendrá windows toda la vida. Linux nació de por sí basado en la seguridad

#38 Por curiosidad, ¿cuál es esa empresa que dices le montó su papá?

Yo es que al ruben de Facua no lo trago. Cada vez que lo veo en la tv parece que le encanta salir en medios y ser protagonista de cualquier cosa que sale

Una cosa es ser portavoz y otra ser tertuliano

#15 josef ajram

#51 ese bug tenía que estar reportado a Movistar el mismo viernes cuando lo detectaron (twitter.com/RubenSanchezTW/status/1017859495878385665) y una vez solucionado por Movistar ya haces el anuncio que te de la gana.

Chemita haciendo las veces de operadora que te echa las culpas de todo, menos mal que el inteligente es el hermano y este se quedo en listillo vendemotos

#56 Aquí no prima el interés de Movistar y Telefónica. Aquí se trata de que los clientes sean los primeros en conocer esa falta de protección y seguridad de sus datos.

Leyendo el WhatsApp no hay más que darle la razón a Chema Alonso.

Puedo hacer que nuestro departamento jurídico te envíe una hora antes...

1) A primera hora presentamos la denuncia...

2) A las 11 rueda de prensa

3) Contamos que tienen un fallo pero no decimos donde.


Suena a que FACUA antes que soluciones quería publicidad, y que iba a hacer todo lo posible para que nadie le arruine el titular.

¿El resto? cada uno sabrá de qué pierna cojea, si quiere creer que telefónica tiene un títere en seguridad o alguien que sabe es, en el fondo, querer meter opinión donde no se debe ya que se habla de una persona y no del fallo.  

#58 ¿y entonces la forma de proteger al usuario es no dar detalles a Movistar para que no lo parchee y que al anuncio, siendo un fallo tan básico, tengas a 100 personas explotandolo ya que es ultra fácil de encontrar? Movistar me la pela, me preocupa la protección de los usuarios.

#51 El problema es la falta de ética al no dar un mínimo tiempo para arreglar el error. Google Project Zero encuentra bugs en todo tipo de plataformas y da un tiempo de 90 días para arreglarlos. Y sí, pasados esos 90 días los revelan. Facua dio 1 HORA. Son unos impresentables.

#60 El bug no es importante. Se desconecta el servicio y se pone en mantenimiento hasta que se arregla. No se parchean los errores de ese tipo en producción, porque eso es una mala práctica y un error en sí mismo.

El problema es ocultar la mala praxis parcheando malamente un acceso aislado y dejando el problema de fondo fuera del conocimiento del público.

Una cosa es el manual del hacker, que no le interesa a nadie, y otra los procedimientos de auditoría y seguridad.

#44 Facua perdió una gran oportunidad de demostrar su fortaleza moral revelando de forma responsable el fallo de seguridad.

Ojo por ojo y diente por diente es la política de Facua, aunque exponga a los consumidores que les importa un pito. Gran política la de Facua sí señor. Facua no es que deba ayudar, es que por muy mal que te lleves con Telefónica ¿qué culpa tienen sus clientes? ¿tienes que exponerlos a un bug de seguridad? La política de revelación de fallos de seguridad no debería variar según si te cae bien o no la empresa afectada. Eso sólo desvela la baja calidad moral de Facua.

#61 Legalmente tienen 72 horas para hacer público el fallo. Si Telefónica tarda más, es sancionada por la AEPD.

#64 Yo no he hablado de legalidad, he hablado de ética.

#65 Yo hablo de seguridad, no de hackers de barrio sésamo. Eso no es ética.

#66 Hackers de Barrio sésamo son entonces la gente de Google Project Zero ¿no?

"Los errores encontrados por el equipo del Proyecto Cero son reportados al fabricante y sólo se hacen públicamente visibles una vez que un parche ha sido liberado. O si han pasado 90 días sin que un parche haya sido liberado. La fecha límite de 90 días es la forma en que Google implementa la revelación responsable, dando a las empresas de software 90 días para solucionar un problema antes de informar al público para que los propios usuarios puedan tomar las medidas necesarias para evitar ataques."
es.wikipedia.org/wiki/Proyecto_Cero#Descubrimientos_notables

#63 Y Movistar estaría dando ahora otra versión, que era mentira por ejemplo. Y ahora la discusión sería si es cierto que facua mentía o no, y gente como tú poniendo verde a facua.

#67 ¿Vale si te doy un positivo por uso avanzado de la wikipedia?

#68 No hace falta ser muy hacker para saber publicar la información hasheada en twitter, y luego revelar los datos que equivalen a ese hash para demostrar que es cierto, como ha hecho Julian Assange y otros varias veces. Eso es una excusa de alguien que no es ético o no tiene ni idea de qué significa una política de revelación responsable de fallos de seguridad.

#39 En una hora te da tiempo a chapar la parte afectada y poner una página de mantenimiento en su lugar. Y luego ya lo arreglas tranquilo. Es cierto que 1h a primera vista no suena muy ético, pero cuando ves la historia de mala sangre entre movistar y facua, ya se entiende mejor.

#71 No, una hora no es muy ético. Claro que puedes parar el servicio en una hora. ¿Estás diciendo que obligar a parar cualquier servicio a millones de clientes es una política de seguridad ética por parte de Facua? En fin. Facua, gran defensora de los consumidores.

#24 Mientras no lo explotes, no tienes obligación de ayudar a una empresa. Solo faltaría! Te puede parecer poco ético no informar o hacerlo público a saco, pero no te pueden obligar a hacerle el trabajo a una empresa.

#72 No es ni culpa ni problema de facua, no son ellos quienes tenían el bug. Y no exageres, nadie se muere por estar 24h sin poder acceder a sus facturas de movistar.

Yo aquí veo una mala relación y falta de confianza entre ambas partes. Y mala leche por ambos lados tb. Si movistar no se hubiera comportado como un niño de 5 años prohibiendo a facua usar su logo, igual otro gallo habría cantado. Yo creo que facua no se fiaba que movistar corrigiese el bug y luego negase haberlo tenido, si les daban más tiempo.

#53 Informática 64

#70 Partiendo de que tu teoría se sustenta en que el portavoz de facua actúa solo y por motivaciones personales no puedo tomarte en serio.

Ps: le va genial a Assange, sí.

#76 Esa será tu teoría, yo no he dicho nunca que actúa solo. Falacia del hombre de paja. Y Assange que yo sepa no le va mal por usar el hashing como prueba de datos. En todo caso le irá mal por usar esa técnica para revelar según qué datos. Otra falacia como una casa.

#9: Pues yo aplaudo que no sucumba a la obsolescencia planificada con el portátil.

#47: Nada como teclear a toda velocidad, incluso para ganar aún más velocidad se pueden ponerdos personas a la vez en un mismo teclado, como parodió Ncis: www.youtube.com/watch?v=u8qgehH3kEQ #MundoViejuno

#77 En el anterior comentario hacías referencia al individuo. Además has supuesto que no tiene informáticos y abogados detrás.

Assange está jodido y lo que sacó no ha hecho casi nada. Su método no ha funcionado.

Parece que tu objetivo es desacreditar a facua y/o lamerle los huevos a Movistar.

#73 Es más, yo al menos no recomendaría denunciar ni comunicar nada. En cierta ocasión en la universidad los usuarios propagaron un virus y ningún antivirus lo detectaba. Después de estudiar una copia del virus, escribí un antivirus y lo publiqué en una lista de correo de la universidad para que cualquiera que lo tuviera pudiera detectarlo y librarse de él. Al día siguiente me cita el administrador de sistemas de la universidad acusándome de ser el creador del virus porque ningún antivirus lo limpiaba. Tuve que demostrar que el virus no era cosa mía porque su procedencia según las bases de datos de virus nuevos decían que era de origen holandés.
Un par de años más tarde descubrí un fallo que permitía leer los correos electrónicos nuevos de un usuario sin necesidad de saber su contraseña porque el cliente de correo estaba mal configurado. No dije nada: ya tuve bastante con el tema del virus cómo para volver a joderme la vida de nuevo. Me gusta ayudar y que las cosas mejoren pero para salir perjudicado...no gracias.

#62 de nuevo, si no avisas que y donde antes de publicar que COJONES vas a poner en mantenimiento o desconectar... ¿Me lo puedes explicar?

Insisto en que el viernes tendrían que haber avisado a Movistar para que o parchease si fuese simple (como era el caso, la cuestión era saber donde estaba el problema) o hacer lo que tu dices. Pero desde luego por ciencia infusa no funcionan, si no se les avisa y se les dice donde no pueden hacer nada. No se como te cuesta tanto entenderlo.

El viernes ya Facua lo sabia, hasta el domingo por la tarde no se les da ni un aviso, y el aviso que se les da es a través del cabeza de O2 y no siendo claros con el problema, simplemente diciendo que más información el lunes 1 hora antes de la rueda de prensa. ¿En serio defiendes esta PÉSIMA actuación? Lo único que se dijo es que se podía acceder a facturas de todos los clientes sin más y se me ocurren bastantes sitios o formas de que eso ocurra.

Repito, por ciencia infusa los informáticos no funcionamos. Si me dicen que tengo un fallo que expone daros de mis clientes me voy a tirar hasta la hora que sea y no voy a parar para descubrirlo, pero si me dices donde pues antes podré arreglarlo. Lo que no puedo hacer es tirar el 100% de un servicio a ciegas ya que el fallo puede estar en mil sitios del portal y chapar el 100% no sólo es un problema para mi negocio si no que puedo estar jodiendo a empresas que necesiten operar, y lo mismo con deshabilitar una cosa en concreto (facturas en este caso) podía parar el problema hasta tener más información.

#64 como ya dije antes, les das 72h y sin darles la información de que, donde y como, juguemos a las adivinanzas.

#82 60 minutos es tiempo suficiente para eso.

Yo he dicho que Rubén a todas luces no tiene ni idea de revelación responsable de fallos de seguridad, no que no haya informáticos ni abogados en el equipo de Facua. También hace referencia al individuo la noticia ¿y qué? No puedes ser más tendencioso en tus interpretaciones. Yo solo digo lo que digo, no lo que tú interpretes que pienso o digo.

Assange estará jodido, lo cual no tiene absolutamente nada que ver con que el uso de hashes para demostrar que con anterioridad habia afirmado algo es una técnica que funciona. A menos que hayas encontrado tú un fallo general de los algoritmos de hashes que los invalida, en cuyo caso serías el puto amo. Otra cosa es que lo que funciona técnicamente no funcione legal o políticamente.

Parece que tu objetivo es defender todo lo que haga Facua sea correcto o no, y atacar con falacias y ataques ad-hominem a quien la critique, independientemente de todo lo demás. Eso denota una falta de espíritu crítico por tu parte.

Ya lo dije en el primer meneo y ahora solo puedo reafirmarme, así no se hacen las cosas.

Un consejo para Pedro Serrahima, para la proxima, das un email del contacto de seguridad y ahí se acaba la conversación sobre ese tema.

#58 Yo creo, teniendo en cuenta que el usuario no puede hacer nada por evitar el robo de sus datos, que lo primero debería ser arreglar el error.

#21 Yo tengo respeto por FACUA pero en esto me parece que se han comportado como unos capullos. Si quieres ayudar a solucionar el problema de seguridad lo haces desde el minuto cero para intentar evitar que nadie se aproveche y no una hora antes de la rueda de prensa tras haber puesto a todo el mundo sobreaviso.

Quizás no será que a Chema le molesta que el de Facua tenga ya más atención mediática....

Xq CA se está cubriendo de gloria últimamente con sus explicaciones...

Por otro lado... Un poco de recogimiento bonito!n

#73 montar una rueda de prensa para hacerte publicidad con el tema en vez de comunicárselo a la empresa, para mí es una forma de explotar la vulnerabilidad.

#58 Vaya tonteria acabas de decir. Los primeros en conocerlo deben ser los que deben repararlo, y acto seguido los clientes (mientras se repara) de nada me sirve que me digan que alguien puede ver mis facturas si no puedo evitarlo y los que pueden hacerlo no lo saben.

#84 No. No se si tendras experiencia en estos temas pero un bug medio no se suele arreglar tan rapido, los hay que tardan semanas o meses. No puedes decir que 60 minutos son suficientes para solucionar algo por que no sabes que puede implicar.

Aun en el caso de que sea facil de resolver no sabes si esa parte del sistema comparte codigo con otras y el bug realmente pueda ser mucho mayor.

#82 Ya les dijeron una hora antes de la rueda de prensa que el fallo era de acceso a las facturas. Una hora es más que suficiente para detener el servicio y evitar la explotación del bug. ¿Has leido el artículo? porque explica muy bien las motivaciones de por qué hacerlo así. Por desconfianza (merecida) y falta de comunicación.


Fijate que hasta levantaron acta notarial del error porque sospechaban que telefónica lo iba a negar (parece ser que no es la primera vez que actúan así).
cc #83

#64 72 Horas son 72 veces el plazo dado por facua.

Y en cuanto a la AEPD, me parece una cagada que va a acabar dando mas de un problema, me explico: si encuentro un bug muy dificil de arreglar, de los que tardan 90 dias en arreglarse y solo 72 horas para notifica, los delincuentes tendran 87 dias para explotarlo.

Esta ley la han hecho los mismos que los del aviso de cookies, quieren algo bueno pero no tienen ni idea de las implicaciones de lo que legislan, y si no ahi esta el tema de whois...

#67 El problema no es comparable en absoluto. Nadie duda de Project Zero, si dicen que ha habido tal fallo de seguridad aunque la empresa ya lo haya arreglado y luego lo niegue nadie va a dudar de que existiera el fallo.

En este caso, había precedentes de malas prácticas de Telefónica. Facua sospechaba que telefónica iba a negar la mayor, y lo importante en este caso era reportar las malas prácticas. El procedimiento ha sido el siguiente:

- Levanto acta notarial del error para poder denunciar a la LOPD
- Les digo que en unos días voy a reportar un error que les atañe pero no les digo detalles para que esten en modo alerta.
- Una hora antes de publicar el error les digo que servicio deben detener para que no se explote.
- Lo publico y les denuncio.

Y ahora Movistar ya no puede librarse del marrón y he mantenido los datos de los clientes a salvo (Si ellos detienen el servicio).

Ninguno de los dos son santo de mi devoción, pero Movistar es de lejos mucho peor que FACUA.

Si yo tuviera info. sobre cualquier vulnerabilidad de timofónica también iría a hacer sangre. Igual si fuera una empresa menos HP tendría más simpatizantes. Se pasa los derechos del consumidor constantemente por el arco del triunfo, ¿qué indolencia espera de la gente a la hora de joderles?

#39 ¿tu sabes que le cuesta al área de TI de una empresa sacar de producción una sección de una web? o incluso poner toda la web en mantenimiento? nada o menos, ahí ya tienes todo tu tiempo del mundo para arreglar tu fallo.

O esperas que el bug se solucione directamente en producción?

#34 "hace cosas chungas"

jajajajajajaja perdona que me ria... Pero es que ha sonado tan a patio de colegio

#9 #10 #15 #18 #20 Supongo que dependerá del ámbito del congreso, yo le he visto en la Black Hat y en la Def Con y tiene ponencias bastante interesantes con casos prácticos, sí que es cierto que tiene pinta de ser un poco notas showman el tío, pero eso no quita para que tenga conocimientos

yo mismo soy MVP, y te puedo asegurar que no lo pongo en el curriculum hay que ser pardillo y friki para hacerlo. Es como decir que tienes un master de la juan carlos I