[Campus Party] ¿Un fallo de seguridad?
Encuentran un escandaloso fallo de privacidad en la web de la Campus Party
[Valencia] ¿Cual sería la pesadilla de una concentración tecnológica? Vale, si quitamos la posibilidad de quedarse sin Interneeeeeé (cosa que afortunadamente no nos ha ocurrido más que en un breve lapso de tiempo), lo segundo podría ser tener un fallo de seguridad que permita acceder a los datos de todos los participantes, incluidas las fotos y datos personales, usados para su registro en el evento. Una información sin duda muy apetitosa para cualquier empresa de publicidad de esas poco escrupulosas. Bueno pues eso es precisamente lo que ha ocurrido en la Campus Party 08. Tal y como muestra la captura, el listado de todos los campuseros está abierto a cualquier individuo que tenga un poco de curiosidad y conocimientos informáticos, tan simple como buscar en los directorios de la web principal.
Nota: Hemos procedido a avisar a la organización para que solucionen el problema y parace que ya está arreglado, pero… señores, un poco de seriedad que son 8.687 campuseros, y alguno de ellos tendrá conocimientos avanzados de informática (digo yo ;-) )
Actualización:
¿Dondé está lo escándaloso? se ven las fotos pero en el nombre ese raro de los archivos no se identifica ni el DNI, es una falla del sitio pero no de seguridad, cuidao con el «sensasionalismo»…
Si es un fallo de seguridad, se llama directory listing; en ese son fotos,en otros que aun no se conocen,o no se han testeado,que sera?
«Cuidao con los periolistos»….Si os jode que haya esta noticia,haberos molestado en testear el site.
Ya sabeis que el año que viene no vais a ir no :D
Hombre Camilo… no se trata de mostrar la información en el post, pero a través de la foto se podía encontrar el identificador de cada campusero (es el número asociado a cada foto que aparece en la imagen que actualizo en el post) y desde ahí acceder a la información personal de cada uno en la carpeta correspondiente, ya que la carpeta de fotos no es la única que estaba accesible. No es que esté tirado pero con un poco de idea…
En cualquier caso esos detalles hay que cuidarlos especialmente en este tipo de eventos… que está lleno de frikis ;-)
Lo que me parece de mal gusto, es que la captura se haya echo en IE y con esa barra de Yahoo tan terrible, válgame Diox!
Pienso igual que Julio,en concentraciones de esta hay que tener muxo ojito.Es mas,el metodo para acceder es facil y esta al alcance de cualquiera (con conocimientos y curiosidad).
A mi lo que me duele en el alma es ver en la screenshot cosas como:
Invierno.jpg
Puesta de sol.jpg
…
-Indexes….. ¬¬
Ya lo vi hace tiempo y avisé a la orga. También lo comenté en mi charla de servidores pero ya estaba arreglado.
De todas formas un wget no me lo quita nadie.
Menudas fotos sube la peña!!! Hay una de Rajoy… pechos… culos… un perro muerto…
…que quereis… esto es ssssssssssspañññññññññññña amig@s.
todos los años pasa lo mismo, passwds de oracle por defecto, subredes de administracion mal configuradas, fuentes de la web en los mismos directorios que la web, sql injection en la seccion de administracion de la web y un laaaargo etc… rebuscad un poquito y vereis.
No se yo creo que no es para tanto. Porque luego por la party no se va con pasamontañas o se aparta uno cuando ve el objetivo de una cámara no? ;)