sebastian dijo hace 2 años:

buu ya fue.. pero lo alcanzé a ver

ItaloNeira dijo hace 2 años:

Hace unos días andaba una cadena avisando de una pagina de “phising” con http://www.cmr.cl …. tendrá que ver con las vulnerabilidades que avisa este hack?

sebastian dijo hace 2 años:

jeje ahi esta otra vez

Sergio Majluf dijo hace 2 años:

En EEUU demandaron a un tipo por hacer algo similar. No causó ningún daño, sólo expuso una falla en el sistema, y están que se lo comen vivo.

Lo interesante de esto es que levanta tremendas discusiones sobre la ética en la informática, y la manera “correcta” de hacer las cosas

Luis Robles dijo hace 2 años:

Existen otras maneras de hacer las cosas, pero esta es realmente divertida para el publico geek en general… Apuesto a que el jefe de operaciones ya pertenecia a Falabella PRO y tenia seguro Falabella contra accidentes porque la pata en la raja no se la va a sacar ni La Presidenta Chanchelet!!!

Luis Robles dijo hace 2 años:

Existen otras maneras de hacer las cosas, pero esta es realmente divertida para el publico geek en general… Apuesto a que el jefe de operaciones ya pertenecia a Falabella PRO y tenia seguro Falabella contra accidentes porque la pata en la raja no se la va a sacar ni La Presidenta Chanchelet!!!

Leonardo dijo hace 2 años:

Ahi ta de nuevo… notable! aprovecha de comprarnos unos iPod por favor…

stark dijo hace 2 años:

Como pecas, pagas, Falabella. ¡Hora de cambiar la plataforma!

Carlos dijo hace 2 años:

“Falabella no es 100% seguro” … y que es 100% seguro????

Lo unico seguro en esta vida es que vamos a morir.

centurion dijo hace 2 años:

Está la escoba con lo de Falabella, creo que todas las multitiendas sacaron sus catálogos (Almacenes Paris y Ripley), revisen……
todos tienen el mismo software en común para generar sus tiendas On-Line.

yorch! dijo hace 2 años:

Les mande un mail a los weones…tan con el culo dos manos….grandee Nuñez!! jajaja..pero porfa no nos kaguis..somos pobres y honrados!!..jejeje.
ups 17:30 me voy!!

yorch! dijo hace 2 años:

Les mande un mail a los weones…COMO CLIENTE EXIJO UNA EXPLICAION AHORA!!! tan con el culo dos manos….grandee Nuñez!! jajaja..pero porfa no nos kaguis..somos pobres y honrados!!..jejeje.
ups 17:30 me voy!!

Luis dijo hace 2 años:

joder, me encanta la seguridad que hay en la red…

roberto dijo hace 2 años:

Quisiera dejar en claro de que no ha sido “hackeado” en el sentido de que fueron comprometidos los datos al interior, este ejemplo es sólo una explotación de XSS en el cual inyectan un JavaScript remotamente.

Sólamente representa un riesgo por ejemplo al enviarse correos de manera masiva emitiendo una URL que parece ser fiable (de dominio http://www.falabella.com) pero que aprovecha la falla que mencioné antes.

De esta manera el atacante podría obtener datos de personas que caigan en la trampa.

En resumen, el tipo jamás ha tocado un archivo dentro del servidor de falabella, sólamente explota una falla que le permite inyectar un JS.

Moraleja: Siempre escapen las cadenas de texto antes de procesarlas.

Saludos,

pame dijo hace 2 años:

uh, la cagaita.
asi no me da ni una ganas de comprar en falabella por internet, ojala que les sirva la tallita pa avisparse que es algo grave!!

Sònico dijo hace 2 años:

pèsimo fallabela, hace una semana acompañè a mi madre a comprarse un laptop, el vendedor tratò de venderle cuanta mierda podìa, pese a que no lo necesitara o incluso, a veces eran objetos obsoletos. sin contar el precio…sin entrar en detalles, luego en PC store encontrè el mismo modelo de laptop …a dos lucas menos… No era un Mac, no se desesperen señores…

Hector Vergara R. dijo hace 2 años:

Leo: como dice Roberto, ningun archivo ha sido modificado dentro del servidor. Solo se ha cambiado un parametro de la URL donde se ‘inyecta’ codigo en javascript. Si entras por el portal de falabella (www.falabella.com) no hay ninguna falla.

Estos ‘hoyos’ son mas frecuentes de lo que se parece, porque los programadores no escapan los parametros (GET o POST).

salute

Sònico dijo hace 2 años:

quise decir 200 lucas… nunca tan cagao…

Hector Vergara R. dijo hace 2 años:

un pequeño ejemplo “cercano” (fayerwayer foros):
http://tinyurl.com/lkqel

aunque me muestra el mensaje, no he cambiado nada del servidor, ni tampoco reviste ninguna falla de seguridad (aunque podria pedir user/password) y mandarle la url a algun incauto.

saludos!

Xradeon dijo hace 2 años:

Leo.. FayerWayer no es 100% seguro!!!

Ismael dijo hace 2 años:

Hace unos meses quería sacar algo con CMR y no se podía porque “el sistema falló simultáneamente en Chile, Peru y Argentina”.
la falla duró como 1 semana. No quiero ni pensar en las vulnerabilidades de un sistema que falla y deja a 3 paises sin Falabella.

ESPIONAJE????? dijo hace 2 años:

NO CONOZCO MUCHO DE COMPUTACION, PERO MI FIREWALL ME ESTA REPORTANDO EN LA ULTIMA SEMANA EVENTOS QUE ME PARECEN EXTRAÑOS. ME COMUNIQUE CON VTR PERO DICEN QUE NO ES NADA. SERA CIERTO?????? CUANDO LEI LOS MENSAJES ANTERIORES ME PREOCUPE MUCHO. ALGUIEN ME PODRIA ORIENTAR QUE SIGNIFICA Y QUE DEBO HACER.

AL SOLICITAR RASTREO DEL EVENTO ME ENVIA LOS SIGUIENTES DATOS:

Joint Whois - whois.lacnic.net
This server accepts single ASN, IPv4 or IPv6 queries

Copyright LACNIC lacnic.net
The data below is provided for information purposes
and to assist persons in obtaining information about or
related to AS and IP numbers registrations
By submitting a whois query, you agree to use this data
only for lawful purposes.
2006-05-19 19:52:27 (BRT -03:00)

inetnum: 200.83/16
status: allocated
owner: VTR BANDA ANCHA S.A.
ownerid: CL-VPNS-LACNIC
responsible: Italo Sambuceti
address: Reyes Lavalle, 3340, 4th floor
address: 6760335 - Santiago -
country: CL
phone: +56 02 3101502 []
owner-c: ISO
tech-c: ISO
inetrev: 200.83/16
nserver: NS00.VTR.NET
nsstat: 20060518 UDN
nslastaa: 20060412
nserver: NS01.VTR.NET
nsstat: 20060518 UDN
nslastaa: 20060412
remarks: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
created: 20011213
changed: 20020627

nic-hdl: ISO
person: Italo Sambuceti Oyarz n
e-mail: isambuce@VTR.CL
address: Reyes Lavalle, 3340, 4 th floor
address: 676-0335 - Santiago -
country: CL
phone: +56 02 3101609 []
created: 20020906
changed: 20021122

whois.lacnic.net accepts only direct match queries.
Types of queries are: POCs, ownerid, CIDR blocks, IP
and AS numbers.

Mauricio Nuñez dijo hace 2 años:

Estimados:

Lo unico que les pido es que eliminen mi nombre del mensaje.
El exploit lo hice correr entre cercanos que pudiesen comunicarse con Falabella. De alguna forma se filtró, por lo que les pido discrecion

Ricardo L. dijo hace 2 años:

y q URL es 100% seguro???
recien se supo el caso de un ciudadano nortamericano q desde inglaterra entro a los servidores de la NASA para sacar informacion sobre vida extraterrestre…

si han hackeado la nasa me imagino que se puede hackear cualquier cosa.

AndrossFoX dijo hace 2 años:

Podriamos hacer una protesta…

“Mi primer PLR, pero de verdad!”

Para que la gente que hace paginas informaticas le ponga empeño… y haga mover el mercado de empleos

BrS dijo hace 2 años:

Y esta explicado y no fue un hack, de hecho algo similar ocurrio con el sitio de CNN hace algunos años.

Saludos desde Korea.

Leonardo dijo hace 2 años:

Ya lo “arreglaron” jeje… pucha… yo queria cuentas pa comprar iPods jajaja

leo prieto dijo hace 2 años:

Gracias por la explicacion roberto y Hector. Comprendo que no fue “hackeado” pero un exploit como ese, esta pidiendo ser usado por “phishers” que quieran tratar de robar los datos de los clientes CMR (haciendo “phishing” obviamente).

Que bueno ver que Falabella ya lo soluciono (esperemos que realmente lo haya solucionado).

Mikael dijo hace 2 años:

Hola a todos!
Es cierto que nada es 100% seguro e internet no es la excepción. Pero también es cierto que es responsabilidad de los administradores mantener sus sitios (ellos estan a cargo) lo más actualizados y mejor configurados posible, para evitar hasta lo impensado, o sea prevenir…

Y otra cosa: ¿qué significará que el exploit estaba alojado en una máquina que apunta a chile.com (ip 200.29.0.158)?

salu2!

ZeroZen dijo hace 2 años:

Conclusión: Falabella tiene el hoyo tapado.

tomás pollak dijo hace 2 años:

no pudiste haber cerrado mejor la discusión.

Aponcho dijo hace 2 años:

…siempre hay alguien que encuentra como dejar el último post…

AndrossFoX dijo hace 2 años:

Zerozen, mejor dicho… a Falabella ya le taparon el hoyo.

Sergio dijo hace 2 años:

ayer envié un comentario…no lo van a publicar?

Andrés Fuenzalida dijo hace 2 años:

Mikael: por el ip me da la impresiòn que està alojado en el datacenter de NetGlobalis en el 4to piso de la torre Birhman en el bosque.

sergio dijo hace 2 años:

no, parece que no lo van a publicar….(pero estos si, bueno, algo es algo, publican uno si, otros no…)

Gino dijo hace 2 años:

Sergio:

los comentarios no son “filtrados”, así que probablemente apretaste “mal” el botón publicar…
Mira, escribe “caca y poto” y luego publica, a ver si te borran.

P.D: por escribir “caca y poto” en fayerwayer, significa que los hackié?

chatuma dijo hace 2 años:

Aparte de todo el hackeo que no es mas que un chiste, no hay ni siquiera denegación de servicio, … pal roteque que dice “Chanchelet” … o sea … me cago en las posturas políticas y es prerrogativa de cada uno, pero una mujer es una mujer y que manera de ser roto el pelotudo ese … te sentis mas hombre weon?, o tu mama se murio al momento del parto?. o no te dan las neuronas pa mas? … típico de weon cobarde.

varinia dijo hace 2 años:

me gustaria que , alguien me diga como puedo saber sobre el partido de tenis y de la venta de entradas.

varinia dijo hace 2 años:

creo que esto es muy , divertido ademas quero felicitar a chatuma por que el si que se sabe expresar, ademas le encuentro toda la razon , cariños.

javier dijo hace 1 año:

hola necesito una pagina de hackeo de msn por que en la que entraba no me sirve el exploti mi msn es mastercolussi@hotmail.com

andres dijo hace 5 meses:

En todo caso no es novedad que tengan problemas de seguridad que sean propensos a phishing, en terra no tienen validados los iframes y puedes introducir cualquier pagina conservando el TOP o header de la pagina de terram hasta hace poico lo mismo sucedia conEntelPCS, pero por suerte fue reparado.

De buenas a primeras nunca toman en cuenta estos errores, no los considearn, pero yo como cleinte ds empresas pienso en la gente que no sabe de inforamtica y que puede ser estafada, peligroso el asunto y bueno que la empresa tenga solucionado el problema