martes, 26 de junio de 2018

ABC afronta una avalancha de fuga de información por el efecto misconfiguration

Reconozco que el post de hoy es hacktivismo puro y duro. No obstante, esto es una prueba de que no todo hacktivismo es ilegal, puedes sacar los colores a una organización utilizando el navegador cuando una organización está utilizando mecanismos poco éticos; así que menos rollos.


Todo el mundo sabe el tipo de periódico que es el diario ABC. Un diario con portadas tan "curiosas" como la de Sevilla el 20 de abril del 1937.No descubro nada que sea nuevo, pero bueno, cualquiera podría decir que han evolucionado.




El principal destino vemos que es Alemania, y claro, esto le tiene que suponer una gran pérdida de PIB y una crisis enorme a Alemania. Estos datos son del 2016, así que comparemos un poco los datos de Alemania, que tienen que ser catastróficos en ese año tal y como apuntan muchos "expertos" ¿no?


Pero bueno, a lo mejor me podéis decir que todo esto no sirve, pues esto no es un valor absoluto, que debo compararlo, por ejemplo, con el año anterior. Venga, vamos al informe del 2015.


En 2015 el número de refugiados e inmigrantes fue bastante menor que en 2016. Comparemos entnces PIB de 2016 frente al de 2015 por ejemplo.  En 2016 ya veis que fue de 3,467 billones de USD, y en 2015 fue de 3,364 billones de USD, por lo que vemos que aceptar casi 3 veces más de refugiados o inmigrantes no afecta negativamente al PIB. 

Pero si nos vamos a una cuestión de mera lógica, vemos que es algo estúpido. Utilicemos de base, el trailer de la película documental Astral de Jordi Évole.






Lo del "Efecto Llamada" es algo que por supuesto se han inventado. Como informático ya os digo que en mitad del Océano es complicado llamar a tu familia, y en caso de llegar a un país y poder llamar a sus familias, sus familias tendrían que realizar el mismo viaje, en las mismas condiciones o peores, y todos sabemos, en un entorno controlado y de simulación con mejores condiciones, lo peligroso que es.



Ya es suponer que van a llegar. Yo a esa gente la invito a que se pongan en frente del país y lo gestionen, las condiciones serán mucho mejores, no es vida o muerte durante un tiempo indeterminado. Son 4 años para mejorar el país con más dinero que el que tienen los refugiados. La lógica nos dice que si saben pronosticar que todas las familias de todos los refugiados van a llegar, también sabrán gestionar un país. Suerte, porque el PP también pronosticó lo mismo y ha dejado bastante tocado y hundido el país.

Después está el tema de si realmente es malo para el país acoger refugiados e inmigrantes. Al fin y al cabo, un inmigrante puedo ser yo, que no consiga satisfacer mis necesidades económicas en mi país por el paro por ejemplo, e irme a trabajar a Reino Unido, Alemania, EEUU,etc. Eso sí, yo me iré en avión, no en barca, que eso se nos olvida comentarlo. Cuando somos nosotros los que queremos labrarnos un futuro, eso ya no lo vemos mal. Pues con los que llegan aquí sería lo mismo, aunque claro, que no consigan satisfacer sus necesidades en países del tercer mundo, eso ya es grave.

Después está el típico que dice "Pero no es lo mismo, nosotros cuando vamos a Alemania estamos mejor cualificados". Eso es mucho suponer, aún así, si somos egoístas...¿y? Si están peor cualificados, accederan a puestos de trabajo peor remunerados, quedando puestos de trabajo mejor remunerados para nosotros. Es ser egoísta, pero es lo que puede ocurrir.

Claro, que si aún así hay gente que les teme, a lo mejor es que no están tan mal cualificados.

Pero bueno, el tema del post es que tras toda esta desinformación y poca lógica, si te vas al gestor documental del ABC, te encuentras con un login.


Si escribimos cualquier usuario y cuaalquier contraseñas y le damos a "Aceptar", veremos que la URL envía el usuario por GET junto al código de error.


El código de error es 1, y además envía el usuario introducido. Esto pasa si escribes cualquier usuario. Bueno, cualquier usuario menos uno.

Ese usuario es el usuario "administrador". Si le damos a "Aceptar", la URL cambia.


Ahora el código de error es el 4 y el login no refleja el usuario introducido. Parece que deja claro que el usuario es "Administrador", por lo que esta fuga de información nos permite que podamos realizar un ataque de fuerza bruta basado en diccionario de la contraseña solamente y facilitar el trabajo.

Esto es un information leak que facilita el ataque al atacante. Ellos verán si lo solucionan, y aquí no valen manipulaciones.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...