ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
Publicado el 22-8-2008 a las 13:05 por 
Alexander Schek
Alexander Schek 
[Actualización] @04:08pm: Creo que es necesario aclarar que SI nos comunicamos con la USACH y coordinamos con ellos para asegurarnos que la falla de seguridad haya estado resuelta. Hable con Dennis Carrasco, Editor Portal USACH, con quien confirmamos que los datos ya están protegidos y no pueden ser accesados. ¡Tan irresponsables no somos! — Leo Prieto
———
[Actualización] @12:55pm: (Sarcasmo mode: ON) Con el fin de ayudar a la USACH, nuestros super ingenieros en computación han desarrollado el siguiente código y pseudo-algoritmo para que ellos lo pongan en sus servidores y eviten este problema a futuro:
User-agent: *
Disallow: /admision2008/
Disallow: /admision2007/
———
Si piensas que ya lo has visto todo en cuanto a seguridad informática en Chile, la siguiente noticia te hará recapacitar. Y no, esta vez no es culpa del Gobierno ni tampoco se trata de un hackeo malicioso.
Nuestro lector Andrés Pontt descubrió de puro curioso que al ingresar directamente en Google una cierta búsqueda (bastante sencilla) se abre un mundo de posibilidades para tener acceso a miles de registros personales de alumnos y docentes de la Universidad de Santiago de Chile.
Esto no es un trabajo de un Hacker, el sitio de la Universidad no ha sido violado, ni tampoco es culpa de Google.
En este caso en específico la responsabilidad cae en la USACH directamente ya que al parecer no ha hecho nada para proteger esos datos privados, que ya son públicos.
Es un grave pero simple problema de ingeniería humana, el eslabón más débil en toda estrategia de seguridad.
Google y otros buscadores inocentemente piensan que esos archivos en esos directorios son contenido normal y público, y lo meten a su índice de búsqueda ya que la USACH no lo tiene protegido de ninguna manera, ni ha instruido a los buscadores de no indexar esas bases o directorios.
Hemos bajado varias bases de datos, y como podrán ver en las fotos, en una de ellas nos encontramos con 238.000 registros de alumnos, con su dirección, correo electrónico, teléfono, RUT, etc… El sueño del Spammer, el botín del pirata informático.
Todo lo anterior es un simple descuido por parte de la Universidad… muy entretenido de mirar…
Link: Buscando en Google (Blog de Andrés Pontt)
Publicado por Alexander Schek el 22 de August 2008 en la categoría Destacados, Internet con los tags Alerta, Chile, Seguridad, USACH. Tiene 284 comentarios.
Compartir284 Comentarios
ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
4Omar dijo el 22-8-2008 a las 13:06:
Mal por la escuela, y mal por FW, no deberian poner el link. La falla y la noticia ahi estan, pero no hace falta que todo mundo “compruebe” el error. Los alumnos no tienen la culpa.
2Panchosama dijo el 22-8-2008 a las 13:06:
A las 13:10 (GMT -4) siguen accesibles todos los datos. Es una gran vergüenza… qué cuesta hacer un ROBOTS.txt decente…
2pock dijo el 22-8-2008 a las 13:07:
Mau es ilegal la venta de BD.
”
LEY Nº 19.628 SOBRE PROTECCIÓN DE LA VIDA PRIVADA O PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (Publicada en el Diario Oficial de 28 de agosto de 1999) Título Preliminar Disposiciones Generales Artículo 1.- El tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares se sujetará a las disposiciones de esta ley, con excepción del que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la ley a que se refiere el artículo 19, Nº 12, de la Constitución Política. Toda persona puede efectuar el tratamiento de datos personales, siempre que lo haga de manera concordante con esta ley y para finalidades permitidas por el ordenamiento jurídico. En todo caso deberá respetar el pleno ejercicio de los derechos fundamentales de los titulares de los datos y de las facultades que esta ley les reconoce.”
Que yo sepa eso sigue vigente
3washimingo dijo el 22-8-2008 a las 13:08:
OJO! que la información que hay no es solo de la USASH en los listados hay información de gente de otras universidades
1jose dijo el 22-8-2008 a las 13:09:
Mmmm los datos siguen en la cache de Google y cualquiera los puede bajar. Mala cosa.
2mastermind dijo el 22-8-2008 a las 13:12:
Ey, podrian editar las fotos ????
En una de ellas, en la primera columna, cualquier persona ligeramente instruida en las artes informaticas puede intuir que se trata de un ID generado a partir de concatenacion de datos, el primer campo por ende podria contener un dato importante como un RUT, codigo interno de la universidad, etc.
No es un simple numero, despavilen y corrijan la foto o de plano saquenla de ahi.
Atina Schek.
2Pinwi dijo el 22-8-2008 a las 13:13:
@ jose.
Solo el index sigue en google, los archivos ya estan abajo.
2Diego dijo el 22-8-2008 a las 13:13:
QUE VERGUENZA!! …. En la USACH, la gente administrativa, salvo raras excepciones, deja mucho que desear. Experiencia propia…. pedir una información o un certificado ya es estresante, que decir del trato….. este tipo de errores no me extraña.
1Lorenzo dijo el 22-8-2008 a las 13:13:
Una falla humana, la cual gracias a ustedes ya todos lo saben, en estos casos lo mejor es mandar una notificación al sitio, si es que realmente quieren ayudar…
0Jose Luis dijo el 22-8-2008 a las 13:13:
Mmm… pese a todo, me parece mal divulgar así esta información… es casi como poner el link a que Intel está vendiendo computadores a 70 mil pesos (y aprovecharse de un error en la publicación de la web).
Creo que debieron haber informado a la Universidad, y una vez arreglado si quieren publicarlo como noticia…
1Takuru dijo el 22-8-2008 a las 13:14:
xD. Las fotos wns xD jajajajaj, hay uno que se parece al comercial de cristal. Hay como 6GB de informacion 2006/2007/2008.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 13:14:
74@gonzalo te entiendo perfectamente… antes de poner la nota, lo debatimos entre todos aqui en FW, y decidimos NO poner el link directo a la base, pero si dar a conocer el string de Google.
-1Felipe dijo el 22-8-2008 a las 13:16:
Tambien esta este, ahi seleccionan los mas pesaditos, esos de seguro q tienen datos mas intereantes.
Parece q ahi nomas esta la seguridad, y yo q tenia pensado irme a estudiar ahi, menos mal q no jue asi.
:S
1MasterCracker3d dijo el 22-8-2008 a las 13:19:
¿y no se supone que esos datos son protegidos por clave? Porque el bot no debería poder entrar, ¿no creen?
Saludos.
1Takuru dijo el 22-8-2008 a las 13:21:
Deberian tener clave…. pero no la tienen. Esto tambien pasa en Telefonica, como 6 veces les paso hasta que solucionaron el problema xD. Igual seguimos buscando xD.
0Álvaro dijo el 22-8-2008 a las 13:23:
Hay varios buscadores que no hacen caso al robot.txt, tampoco hay que confiarse de que “esta carpeta nadie sabe que existe así que concluyo que nadie se puede meter”. Esto se tiene que hacer por medio de la configuración del servidor, decirle: este direcctorio no será publicado.
![Alejandro[FV]](http://www.gravatar.com/avatar/e5442dac05c4ffd35c91e46a91d115eb?&s=70&d=http%3A%2F%2Fwww.fayerwayer.com%2Fwp-content%2Fthemes%2Ffayerwayer_4.6%2Fimg%2Ffayerwayeriano.png){kind=avatar}
2Alejandro[FV] dijo el 22-8-2008 a las 13:25:
lamentable por las personas involucradas y por el prestigio de la universidad, tal como dicen por ahi, deben haber miles de casos mas en empresas e instituciones de eduacion, publicas y privadas que tienen el mismo error…. se acabaran las piedras, pero los wue……. nunca.
1Eduardo dijo el 22-8-2008 a las 13:26:
Buena caceria y me parece un exelente aporte, como ejemplo … pero el debate no deberia ir en contra de la universidad o quienes desarrollaron la aplicacion, si no, que clase de sitios estamos desarrollando en chile?… tenemos estandares de seguridad? … los que desarrollan tienen real respeto por los datos que manejan?
3Cesar dijo el 22-8-2008 a las 13:28:
Un error muy comun diria yo, pero agregar ese texto al robots.txt no solucionara el problema, porque con eso le estas diciendo al buscador que no lo indexee sin embargo no estas restringiendo acceso a las carpetas.
Una solucion rapida, y simple, es agregar un index.html a ese directorio, creas un archivo y lo guardas como index.html no es necesario ni ponerle dentro, puede estar 100% en blanco. Con esto cuando alguien intenta entrar a un directorio ej: usach.cl/admisiones2007/ lo que vera es ese index.html en blanco y no podran navegar por la carpeta, porque al no tener dicho index el servidor tanto en apache como IIS, etc, buscan por un index o default, y si no lo encuentran despliegan el contenido a modo de explorador, y ahi es donde uno se da la fiesta si es que es mal intencionado.
Como “alerta” y ya que son parte de Betazeta, les paso el dato que el sitio de DaleAlbo tiene vulnerabilidades, no he revisado otro sitio de betazeta aún.
Para no hacer publico el “agujero” escríbeme al e-mail que dejo acá y les paso la información de regreso y de manera privada.
Saludos.
-1der dijo el 22-8-2008 a las 13:34:
q decepcion, esto no tiene seriedad de ninguna de las dos partes
saludos
3Takuru dijo el 22-8-2008 a las 13:35:
Con tanta gente bajanado casi un DVD de informacion quien no se da cuenta xD.
9Jorge Satowan dijo el 22-8-2008 a las 13:36:
Maravilloso, en una de las bases encontre el mail de una prima que noveo hace rato…
FayerWayer uniendo a la familia!!!
-6Rdiaz dijo el 22-8-2008 a las 13:36:
Sito esta respuesta del Sr. Mr. Chips “@valeria Sabes, el error es tan estupido que es mejor hacerlo publico para que todos aprendamos de una vez por todas”.
Creo que lo que ustedes están haciendo con esto, es tan grave como el problema que tiene la Universidad en estos momentos de seguridad informática. Han dejado al descubierto los miles de datos de las personas que están estudiando en la Universidad, por lo que son tan responsables como ellos de hacer público estos datos.
Me parece Sr. “Mr. Chips”, que solo esta buscando las debilidades de los demás para engrandecer su ego a costa de otras personas. Hay que ser más inteligente!!!
4Opinion dijo el 22-8-2008 a las 13:38:
Bueno es un poco obvia la publicacion de este “condoro” de la usach, con esto fayerapple tiene más publicidad…suponiendo que vamos a ver esto en los noticieros…
entre eso y avisar del problema de modo “piola”..no hay por donde perderse no?
6Daniel dijo el 22-8-2008 a las 13:43:
Mal por la gente que ve su privacidad expuesta por un error tan tonto, mal por la gente que maneja los sitios web en la usach, mal por google que indexa TXT por defecto, MUY MAL por fayerwayer por haber mencionado el string de búsqueda, les aseguro que gracias a ese detalle ahora no uno sino que seguramente muchos spammers, estafadores y quizás que otra calaña tiene acceso a la información, antes de eso NADIE SABIA COMO!, no se si me explico pero hicieron crecer exponencialmente el riesgo se que la información cayera en malas manos, y eso no tiene justificación. Ojo no se malentienda, esta bien que denuncien el hecho pero no digan como hacerlo, se imaginan si todos los boletines de seguridad de las distintas compañías tecnológicas salieran con el código para hacer el exploit de la falla que están publicando? esto ES LO MISMO.
2Álvaro dijo el 22-8-2008 a las 13:43:
Mr.Chips, sin ofender. Difícil 3 lineas de código vaya a solucionar el problema, como ya dije se le tienen a agregar seguridad al que sirve la informacion (ej apache), no confiarse del que la facilita (ej google).
Lo que se podría hacer también es agregarle una contraseña al directoro.
Un error de la JUNAEB en Chile expone datos privados de becarios
Stasi: Nuevamente los datos de millones de chilenos disponibles en la red
Feliz Navidad: Diputados chilenos quieren desconectarte de internet
¿Twitterank es un servicio que roba tu clave de Twitter?
FW Exclusivo: Bruce Schneier nos habla sobre la filtración de datos privados en Chile
¿Es privada la información personal en Chile?
Gobierno comienza investigación de filtración de datos personales de 6 millones de chilenos
ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet
Prueba gratis Producto Protegido
Producto Protegido pretende parar pérdidas de productos personales
Proveedores de Internet empiezan a bloquear el puerto 25
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 2 [3] 4 5 6 7 … 10 Próximos 30 Comentarios →