Welcome to Beta-Zero

Regístrate ahora para obtener acceso a todas nuestras características. Una vez registrado y conectado, podrás contribuir a nuestra web mediante la presentación de tu propio contenido o responder a contenido existente. Podrás personalizar tu perfil, recibir puntos de reputación como una recompensa para la presentación de los contenidos, a la vez que la comunicación con otros miembros de forma personalizada. Este mensaje se eliminará una vez que hayas iniciado sesión.

Conéctate para seguir esto  
Seguidores 0
Umbrella

Nintendo Ibérica "Hackeada"

26 mensajes en este tema

Ya podría el Hacker haberles puesto millones de puntos estrella de esos a la gente registrada XD .

Compartir este post


Enlace al post
Compartir en otros sitios

He leído la noticia en EOL.

Según pone, no es chantaje: se avisió a Nintendo y a El País al descubrirse la vulnerabilidad.

Nintendo "por si las moscas" o "con alevosía" interpreta que le están haciendo chantaje y pega el mazazo: han detenido al chaval que avisó.

Habrá que ver cómo termina todo, y qué y cómo se comunicó el asunto a Nintendo y a El País... aunque si se quiere hacer chantaje, avisar a El País me parece que no concuerda.

Compartir este post


Enlace al post
Compartir en otros sitios

Esto comenta adan_gecko supuesto "Hacker",que huevos tiene Nintendo.

[blockquote]Hola chavales, ya he regresado de estar un ratillo detenido. :)

Os cuento mi experiencia en comisaría:

Llegué a comisaría y pedí indicaciones para Delitos Informáticos. Me dijeron que esperase en la sala contigua. Al rato apareció el agente de DDII y me acompañó a su oficina. De entrada decir que el agente y en general todos los funcionarios fueron muy simpáticos en todo momento.

Ya en la oficina el agente me hizo la primera pregunta: - ¿Sabes por qué estás aquí? - Sí - Pues... cuéntame.

Le conté con todo lujo de detalles mi versión de la historia, que es más o menos la concatenación de todos los mensajes que he ido dejando.

Al parecer Nintendo me ha denunciado por "Revelación de secretos" y "Amenazas".

En la denuncia al parecer se ven reflejadas todo tipo de imprecisiones temporales y factuales: dicen haber cerrado las reservas en las 24 primeras horas después de lo que ellos han denominado "robo" mientras que realmente lo hicieron en el doble de tiempo; además de asegurar que he borrado su base de datos, afirmación que es manifiestamente falsa no sólo porque yo no haya hecho tal cosa sino porque los eventos siguen organizándose y por lo tanto no han perdido los datos. Para colmo los datos que yo descargué (y que ya han sido borrados de mi equipo) no son una base de datos sino listados con sólo parte de los datos que estaban disponibles en la aplicación de administración.

A continuación bajamos a calabozos donde me hicieron la ficha policial, midiéndome, tomándome todas las huellas de los dedos y las manos completas en todas las posturas imaginables. También me hicieron la típica foto de frente y de perfil. Aquí también hubo buen rollo con los funcionarios, e incluso bromeamos con subir las fotos a facebook.

Después de todo esto llegó el abogado de oficio para presenciar la declaración. El agente me fue haciendo preguntas de todo tipo y por supuesto tuve la oportunidad de matizar y manifestar todo lo que me pareció conveniente. Hice especial hincapié en la sencillez procedimiento por el cual accedí a los datos, que dista de ser una "técnica de hacking" como mencionan en la denuncia.

Con respecto a los listados con datos personales que descargué, en la misma declaración manifesté mi intención de borrarlos de inmediato así como no volver a usarlos, almacenarlos o comunicarlos en el futuro.

Así, la única copia de los documentos, acompañados de las pruebas que muestran el procedimiento de acceso a los datos, permanece en un pendrive guardado en un sobre lacrado y firmado cuya apertura sólo puede ser efectuada por el Juzgado responsable del caso. Asimismo, se ha hecho constar este hecho en la propia declaración así como el nombre de los archivos y las claves de extracción contenidos en el dispositivo (son archivos comprimidos con clave).

A partir de este momento, se inicia un proceso administrativo muy lento que con cierta probabilidad acabe en la desestimación del caso porque el Juez considere que mi actuación no sea constitutiva de delito. Si no fuese así, se celebraría un juicio por videoconferencia (he sido denunciado en Madrid pero vivo en Málaga) en el que igualmente mi declaración y las circunstancias probablemente derivarían en la desestimación del caso. Si por el contrario se me considerase culpable, en el peor de los casos se me impondría una multa.

Yo por mi parte voy a presentar mi denuncia ante la Agencia de Protección de Datos antes de que acabe la semana, que es sinceramente por donde tenía que haber empezado.

Ya lo sabéis, si os encontráis alguna vez en una situación similar bajo ningún concepto os pongáis en contacto con el infractor, acudid directamente a la Policía o a la Guarda Civil, que aunque a veces pueda no parecerlo, están para ayudarnos en estos casos.

P.S.: No sé si es la primera vez que ocurre en EOL, pero este hilo se va a utilizar como prueba en el caso.[/blockquote]

Compartir este post


Enlace al post
Compartir en otros sitios

El teléfono escacharrado...

Cito los correos que el presunto "hacker" envió a Nintendo tras descubrir y avisar del fallo de seguridad:

[blockquote]

Muy buenas,

Me pongo en contacto con usted en relación con la campaña "Prueba y verás" que la compañía que dirige viene realizando en tierras españolas.

Le hago saber que recientemente he descubierto de forma accidental en el 'minisite' de la campaña la presencia de una vulnerabilidad por la cual todos los datos personales de los suscritos a aquella quedan expuestos de forma pública. Le adjunto una pequeña muestra de los documentos que lo prueban para que pueda verificar la existencia de dicha vulnerabilidad.

Quisiera recordarle que según el Artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Caracter Personal:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Además de que acorde a lo dispuesto en los Artículos 44 y 45:

Son infracciones graves: [...] Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas.

La vulnerabilidad descubierta permite a cualquier tercero el acceso y modificación de datos de carácter personal (como puedan ser nombre y apellidos, DNI, correo electrónico, datos postales y la fecha y hora de la cita) por la falta de seguridad de sus sistemas informáticos; lo que como ha podido leer se encuentra tipificado como una infracción grave penada con entre 60.000€ y 300.000€ de multa.

Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.

Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.

Si está interesado en ponerse en contacto conmigo, por favor no dude en llamar al número de teléfono [...]. También me podrá encontrar el próximo [...] a las [...] en [...], donde precisamente acudiré a probar el producto promocionado por la campaña.

Saludos cordiales,[/blockquote]

[blockquote]

Muy buenas,

Quisiera hablarle en relación con la vulnerabilidad descubierta en el 'minisite' de la campaña "Prueba y verás", de la cual les hice conocedores ayer vía correo electrónico.

Me agrada mucho comprobar que dicha vulnerabilidad ha sido subsanada así como la celeridad con la que han solucionado el problema.

Al no haber recibido respuesta por su parte, entiendo que la empresa que Usted dirige no tiene ningún reparo en afrontar las consecuencias legales y económicas de su infracción. Por lo tanto, salvo que en los próximos días se me comunique oposición por su parte, el proceso de denuncia continuará adelante con entrega de la documentación ante la Agencia de Protección de Datos prevista para el próximo lunes 14 de febrero.

Muchas gracias por su atención,[/blockquote]

Vamos, un eoliano con morro, algo ingenuo, pero con mucho morro.

Compartir este post


Enlace al post
Compartir en otros sitios

Y yo me pregunto, ¿ que pretende este tio haciendo eso?

Suerte que lo hizo el y no otro para aprovechar la info de los registrados,si no llega a ser por el seguiría estando en peligro toda la info de la Web,encima avisa a nintendo y le denuncian XD.

Ahora esta de moda hacerse famosillo con los hackeos.

Si es que no es ni un Hackeo lo que hizo el lo pudo hacer cualquiera.

Dicho por el en EOL;

Procedimiento para acceder a los datos:

(Obviamente ya no se puede, si no no lo diría pues sería muy irresponsable de mi parte)

1. Acceder a http://admin.pruebayveras.com .

2. Pulsar Enter, sin introducir usuario ni contraseña.

3. Voilà!

Antes de calificara a una persona de algo tendríamos que informarnos un poco mas (noo)

PD:Evil Mask si encima le denuncian yo también le mandaría ese correo a Nintendo o uno peor (;)

Compartir este post


Enlace al post
Compartir en otros sitios

Los correos son precisamente la razón por la que le denuncian, ya que los escribió teniendo en posesión datos de terceros y habiéndose arreglado ya el fallo de seguridad.

Vamos, que si hubiese avisado y punto, sería un heroe, pero pidiendo "negociar", la ha cagado como un auténtico imbécil que va a servir para tapar perfectamente la cagada de Nintendo.

Compartir este post


Enlace al post
Compartir en otros sitios

Y yo me pregunto, ¿ que pretende este tio haciendo eso?

Ayudar, es como cuando encontraron una vulnerabilidad en los routers de jazztel y otras compañias, en vez de dar las grácias por el aviso y arreglarlo se ponen farrucos.

Compartir este post


Enlace al post
Compartir en otros sitios

Agh, ¿tú también?

Lee el correo escrito una vez arreglada la vulnerabilidad.

[blockquote]Muy buenas,

Quisiera hablarle en relación con la vulnerabilidad descubierta en el 'minisite' de la campaña "Prueba y verás", de la cual les hice conocedores ayer vía correo electrónico.

Me agrada mucho comprobar que dicha vulnerabilidad ha sido subsanada así como la celeridad con la que han solucionado el problema.

Al no haber recibido respuesta por su parte, entiendo que la empresa que Usted dirige no tiene ningún reparo en afrontar las consecuencias legales y económicas de su infracción. Por lo tanto, salvo que en los próximos días se me comunique oposición por su parte, el proceso de denuncia continuará adelante con entrega de la documentación ante la Agencia de Protección de Datos prevista para el próximo lunes 14 de febrero.

Muchas gracias por su atención,[/blockquote]

¿De verdad quería sólo ayudar?

Compartir este post


Enlace al post
Compartir en otros sitios

Yo no veo apice de ayuda, la verdad es que sus intenciones parece más las de "he visto que tienes un fallo, vulneras la ley de la protección de datos... te voy a denunciar y sacar tajada" de ahí que deje muy claro en su e-mail la cuantía de las posibles multias.

Si realmente estaba preocupado por que los datos pudieran estar expuestos en la red, creo que tendría que haber dirigido su denuncia a la asociación de consumidores u organismo competente y no lanzarse en una cruzada en solitario.

Si lo vemos en prespectiva, este tipo aprovechado un fallo de seguridad se ha apropiado de datos privados sobre terceros e incitado a la compañia que disponía de dichos datos a llegar a un acuerdo con él... de que tipo? económico?

Si que debe estar mal la economia si...

Compartir este post


Enlace al post
Compartir en otros sitios

Yo la verdad tras haber leído con más detenimiento el hilo en cuestión, no sé qué pensar:

Por un lado el chaval descubre que ni había seguridad ni datos protegidos ni nada de nada en la web en cuestión.

Se baja los datos de unas 4.000 personas.

Escribe unos e-mails con algunas frases sospechosas como mínimo.

Una vez que Nintendo no responde, y creo que una vez arreglado el problema de (in)seguridad, lo cuenta en el foro.

De ahí puedes creerte:

* Que el chaval inocentemente bajó los datos para tener pruebas para denunciar a Nintendo si esta pasaba del asunto, y escribió los e-mails para darles un toque de atención, esperando recibir un premio simbólico por haberles avisado en lugar de denunciado o contado a los cuatro vientos lo que pasaba.

* Que el chaval se bajó los datos para realmente tener fuerzas en un intento de extorsión a Nintendo.

Sea como sea, y fueran cuales fueran las intenciones:

* Nintendo o quien ostentara la titularidad de los datos del fichero, debe ser castigada conforme a la Ley.

No es de recibo que ni siquiera hubiera una mínima protección de datos sensibles de usuarios, incluyendo los de menores de edad.

* El chaval se la puede cargar igualmente: ha bajado datos privados de usuarios de un fichero propiedad de una compañía, aunque no estuviera protegido. Y por si ello no fuera poco, encima escribe unos e-mails a dicha compañía que muy bien podrían interpretarse como intento de chantaje o extorsión.

En resumen, Nintendo y el chaval, si fueran escolares de los años 60, serían puestos de rodillas con los brazos en cruz, y libros en cada mano, llevando orejas de burro.

Compartir este post


Enlace al post
Compartir en otros sitios

Registra una cuenta o conéctate para comentar

Debes ser un miembro de la comunidad para dejar un comentario

Crear una cuenta

Regístrate en nuestra comunidad. ¡Es fácil!


Registrar una cuenta nueva

Iniciar Sesión

¿Ya tienes cuenta? Conéctate aquí.


Iniciar Sesión
Conéctate para seguir esto  
Seguidores 0