All posts tagged Hacking

Base de datos del INE: 241 días en forma pública

De acuerdo a información consultada con diversos expertos que nos han ayudado a investigar más sobre este tema, logramos encontrar la fecha exacta de subida del Padrón Electoral por parte del Partido Movimiento Ciudadano, situándolo en el mes de abril de 2015, en específico el día 24.

Por 241 días, el Partido Movimiento Ciudadano colocó de forma pública y sin restricciones de acceso, la base de datos de todos los mexicanos que tenemos credencial de elector, ¿qué tiene que decir el partido respecto a esto? Si atendemos su versión, ¿entonces por 241 días no supieron responder ante el supuesto “hackeo” que les hicieron?

Mientras nuestro equipo de investigación estuvo haciendo pruebas, adicionalmente encontramos más bases de datos, entre otras:

  1. Información de todos los puentes y casetas de cobro del país (México)
  2. Bitácoras de correo electrónico del ISSSTE
  3. Bitácoras de correo electrónico del IMSS
  4. Bitácoras de mensajes de bancos
  5. Bitácoras de datos de diversas universidades regiomontanas
  6. Bases de datos de estudiantes de diversas universidades del país
  7. Webcams en las ciudades principales del país que, incluso, nos muestran interiores de oficinas
  8. Expedientes completos de dos despachos de abogados litigantes en el país

Leer nota completa…

Lulz Security ataca Sony Pictures

Soy un gran fan de los videojuegos desde hace 20 años aproximadamente y recuerdo bien que desde que se lanzó el PS3, Sony comenzó con una serie de declaraciones bastante ridículas (justificando el precio y que no vendían tanto porque tenían competencia), además que sus grandes lanzamientos no lograban mejorar las ventas de la consola (aún con juegos muy buenos), por lo que los seguidores más fieles de la marca tomaron una frase para su lucha: “El 200X/20XX es el año de Sony”

Y por fin le atinaron, 2011 es el año de Sony, el año en que han demostrado al mundo las deficiencias de seguridad que tienen como compañía en la mayoría de sus divisiones, y es que en abril fueron robadas 77 millones de cuentas de la PlayStation Network, en mayo Sony Online Entertainment perdió 24 millones de cuentas, luego a pocos días del restablecimiento de la PSN se descubrió otra falla de seguridad, también Sony Music de Japón fue víctima de los hackers y el día de hoy tenemos la noticia que Sony Pictures también ha sido objeto de ataques con la pérdida de 1 millón de cuentas y 3.5 millones de cupones para música.

Es en estos momentos y antes de continuar que ya no sé que es más correcto:

¿Los hackers lo hacen de nuevo?

¿Sony lo hace de nuevo?

Los hackers están cometiendo un delito, para mí no queda duda de eso, ya que están robando información de usuarios que nada tienen que ver con las decisiones que toma Sony, incluso no es una forma de protesta valida (en ese caso si tienen problemas con Sony basta que dejen de comprar sus productos), ni tampoco es un juego como dice Lulz Security que su ataque de hoy no fue sofisticado y que sólo lo hacen para avergonzar más a Sony (los directivos de la empresa pueden solos con eso).

Después del ataque de hoy Lulz Security ha dicho lo siguiente:

Nuestro objetivo aquí no es aparecer como hackers maestros, por eso vamos a revelar lo siguiente: SonyPictures.com fue violada con una muy simple inyección de SQL, una de las vulnerabilidades más primitivas y comunes, como todos deberían saber. Con una sola inyección, accedimos a TODO. ¿Por qué ponen tanta fe en una compañía que se deja abierta a estos ataques tan simples? Lo que es peor, es que cada bit de datos que tomamos no estaba encriptado.

¿Cómo es posible que después de todos los ataques que han tenido tengan 1 millón de passwords en texto simple y que los obtuvieran sólo con un SQL injection? Por cierto, lo que robaron ya puede ser encontrado en torrents.

Es importante mencionar (y siendo justos con Sony) que no todos los ataques tienen la misma magnitud, ni por número de usuarios ni por la información que fue comprometida, en mi opinión el mayor es el de la PSN ya que muchas de las cuentas involucradas tenían entre otros datos, los números de tarjetas de crédito de los usuarios (lo que tampoco le quita relevancia a los otros ataques).

Lo que también es increíble es que una compañía del tamaño de Sony sea tan vulnerable a este tipo de ataques y peor aún que sea en varias de sus divisiones, me pregunto si tienen algún DRP o BCP para estos casos, y si es que cuentan con algún estándar de seguridad como ISO 27000PCI y sobre todo, ¿cómo fue que los consiguieron?

Hace unos años una famosa cantante tenía muchos problemas con drogas y alcohol por lo que una página web lanzo un reto, el que adivinara la fecha y hora de la muerte de ella se ganaba un PlayStation 3, muchos participaron en el reto pero nadie ganó porque ella sigue vida. Hoy no me extrañaría que alguna web lance un reto para pronosticar el siguiente ataque a Sony, o peor aún, que se lance un concurso para ver quien ataca a Sony primero (y que el premio sea un PS3).

No se ve cuando va a terminar esto, pero por los antecedentes no creo que pronto, sólo espero que Sony empiece a ocuparse por su seguridad, porque aunque parezca que el fuego ya termino con todo, aún hay muchas divisiones de Sony en peligro.