ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
Publicado el 22-8-2008 a las 13:05 por 
Alexander Schek
Alexander Schek 
[Actualización] @04:08pm: Creo que es necesario aclarar que SI nos comunicamos con la USACH y coordinamos con ellos para asegurarnos que la falla de seguridad haya estado resuelta. Hable con Dennis Carrasco, Editor Portal USACH, con quien confirmamos que los datos ya están protegidos y no pueden ser accesados. ¡Tan irresponsables no somos! — Leo Prieto
———
[Actualización] @12:55pm: (Sarcasmo mode: ON) Con el fin de ayudar a la USACH, nuestros super ingenieros en computación han desarrollado el siguiente código y pseudo-algoritmo para que ellos lo pongan en sus servidores y eviten este problema a futuro:
User-agent: *
Disallow: /admision2008/
Disallow: /admision2007/
———
Si piensas que ya lo has visto todo en cuanto a seguridad informática en Chile, la siguiente noticia te hará recapacitar. Y no, esta vez no es culpa del Gobierno ni tampoco se trata de un hackeo malicioso.
Nuestro lector Andrés Pontt descubrió de puro curioso que al ingresar directamente en Google una cierta búsqueda (bastante sencilla) se abre un mundo de posibilidades para tener acceso a miles de registros personales de alumnos y docentes de la Universidad de Santiago de Chile.
Esto no es un trabajo de un Hacker, el sitio de la Universidad no ha sido violado, ni tampoco es culpa de Google.
En este caso en específico la responsabilidad cae en la USACH directamente ya que al parecer no ha hecho nada para proteger esos datos privados, que ya son públicos.
Es un grave pero simple problema de ingeniería humana, el eslabón más débil en toda estrategia de seguridad.
Google y otros buscadores inocentemente piensan que esos archivos en esos directorios son contenido normal y público, y lo meten a su índice de búsqueda ya que la USACH no lo tiene protegido de ninguna manera, ni ha instruido a los buscadores de no indexar esas bases o directorios.
Hemos bajado varias bases de datos, y como podrán ver en las fotos, en una de ellas nos encontramos con 238.000 registros de alumnos, con su dirección, correo electrónico, teléfono, RUT, etc… El sueño del Spammer, el botín del pirata informático.
Todo lo anterior es un simple descuido por parte de la Universidad… muy entretenido de mirar…
Link: Buscando en Google (Blog de Andrés Pontt)
Publicado por Alexander Schek el 22 de August 2008 en la categoría Destacados, Internet con los tags Alerta, Chile, Seguridad, USACH. Tiene 284 comentarios.
Compartir284 Comentarios
ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
5pock dijo el 22-8-2008 a las 13:53:
SQL Inyection yo fui a un congreso dictado por Microsoft gratuito y te enseñaban eso
A medida que se masifica un error y la gravedad se evita con penalizaciones muy grandes que se repita, aqui deben rodar cabezas
Es cierto FW crecio el riesgo exponencialmente, pero eso ocurre, o no pasa igual cuando en las noticias dicen se creo un nuevo delito, van en camioneta y chocan contra el escaparate y corren, les estan enseñando a los ladrones como actuar, y todos los programas sensacionalistas lo hacen.
4Mau dijo el 22-8-2008 a las 13:53:
@pock
http://www.servel.cl/servel/Controls/Neochannels/Neo_CH323/Deploy/catalogo.pdf
Ahi te venden una base de datos con nombre, apellido, rut, domicilio, afiliación política, etc… Es ilegal? parece que no.
-1marcela dijo el 22-8-2008 a las 13:54:
oye que bueno que lo hicieron publico, porque al entrar al sitio en cuestio ya se prohibio el ingreso a personas ajenas…. que bueno saber que hay nuevos puesto de trabajo disponibles para muchos ingenieron informaticos,…. porque ahi las cabezas debiera de rodar!!
-1TERRIBLE JEFE dijo el 22-8-2008 a las 13:55:
Que alaracos son, como si un estudiante de la USACH tubiese mucho que perder….son terrible e’ pollo.
-1Satan Piraña dijo el 22-8-2008 a las 13:55:
Otra vez sale Mr. Shit con esa soberbia que tanto molesta.
¿Te das cuenta que pusiste a disposición de los spammers una base de datos?
Claro, no es ilegal hacerlo, pero ¿es ético?
Dicen estar en contra del SPAM, pero en bandeja regalan una base de datos. Con la cantidad de visitas que tienen no pueden pensar que uno que otro spammer no aprovechara este regalito. Además que con tamaña cantidad de cuentas, hasta yo me hago spammer para ver que beneficio le saco.
Modera tu ego Shit, como medio de comunicación masivo tienen que pensar bien que cosa publican y el alcance de lo que publican.
Malo por la USACH, peor por Fayerweas y feo por ti Mr. Shit.
¿Y que dice Leo?
Off-Topic: ¿idea mía o Wayerless es actualizado más rapido y con mejores contenidos que este pasquin? ¿será exigencia de Entel que Leo y Cía se tomen seriamente a Wayerless y no como lo hacen con FW?
34Gon dijo el 22-8-2008 a las 13:59:
En casa de herrero, cuchillo de palo.
Lo digo con conocimiento de causa. Soy estudiante de Ing. Informática en la Usach. Realmente el dpto de ingeniería informática no tiene pito que tocar en estas materias.
Cada oficina, departamento, facultad o dependecia cualquiera es un mundo aparte. A veces el webmaster es el coordinador del ramo, a veces es Segic, etc… idem para los que mantienen las máquinas.
A veces despues de una prueba, cuando publicaban alguna nota (por la buena voluntad del coordinador y no por que sea politica de la universidad hacerlo) a veces se caian los servicios, y no digamos que recibian millones de visitas, con suerte algunos cientos de hits (onda, 200-300 alumnos?).
NO hay ningun sistema de información que coordine las notas, ni el material academico ni la información de cada alumno, excepto el Registro Académico, que solo mantiene las notas finales del ramo de cada alumno.
En este minuto incluso, no se si pase un ramo o no, porque no fui a ver mi nota con el profesor, así que tendré que esperar a verla en el Registro Académico cuando se cierre el semestre.
Otro caso: al contrario de esta filtración, me sucedió que perdi la oportunidad de dar una prueba, debido a que la coordinación del ramo NO TENIA la información actualizada en su web. No tenía ningun telefono a mano y ni siquiera ocuparon el diario mural (excepto 2 profesores q publican sus notas por iniciativa propia). Como no tenia compañeros de generación, no conocia a nadie como para haber preguntado, así que llegue a preguntar a clases y para mi mala suerte, LA PRUEBA LA ESTABAN DANDO. Como era de esperar, me eché el ramo.
–
Si quieren que de una opinión respecto a como funciona “informáticamente” la universidad, es un DESPELOTE. Y lamentablemente siendo parte del Depertamento de Ingeniería Informática, poco y nada puedo hacer para arreglar estas cosas.
PD: Se reciben sugerencias.
Ver Comentario... OVER dijo el 22-8-2008 a las 13:59 ...
1briana dijo el 22-8-2008 a las 14:00:
imperdonable tratándose de una Universidad no?
hasta yo aprendí como bloquear al robot araña de google jejeje 
Saludillos
2Stack dijo el 22-8-2008 a las 14:03:
uta…. ya no se puede ver nada!ª!!!— yo estudio ahi y queria ver mis datos!!!
-4patoko dijo el 22-8-2008 a las 14:03:
que feo FW, aparte que estan guateando, más encima se las dan de bacanes y publican esto. Esta bien que ustedes sean diseñadores y estan en el negocio, pero lo que hicieron ahora es digno de un sitio de crackers. De seguro ahora ustedes le ofrecerán a la USACH los servicios de http://www.i2b.cl
Me gustaba más cuando ayudaban realmente a la gente (liberacion digital). Les falto criterio. Esto se debio haber publicado después de que se solucionara el problema no antes.
5HEZ3 dijo el 22-8-2008 a las 14:03:
jajaj Mr. Chip & Dale tardó en poner su “solucion” por que el no sabia jaja se puso a buscar en google o a preguntar por que ya vimos su destreza informatica en este post http://www.fayerwayer.com/2008/08/if-medallas_brasil-6-then-hack_site/
-1JDavis dijo el 22-8-2008 a las 14:05:
OFFTOPIC
Hola una vez creo por aqui vi una nota de un sitio que permitia hacer un esbozo de un sitio arrastrando controles ya hechos, por mas que uso el search no doy con el, alguien sabe a cual me refiero que me pueda ayudar?
Saludos.
6LaPeGa dijo el 22-8-2008 a las 14:06:
Que esta pasando con FW? Hasta hace poco velaban por la seguridad de los datos y ahora
se encargan de dar a conocer un montón de datos privados…
Ya se que Mr. Chips va a decir: “nosotros no publicamos nada”, pero explicar como
acceder a esta información, además, si esta noticia no hubiera salido en FW
prácticamente nadie la conocería, no se olviden que a FW la visita muuucha gente.
Por otro lado, creo que están escasos de nuevas noticias, es que publicar este tipo de cosas…
7Rodrigo dijo el 22-8-2008 a las 14:07:
Me parece mal por la universidad y la poca o nula previsión que
tienen para con la información de sus alumnos, habla pésimo de ellos.
“Sabes, el error es tan estupido que es mejor hacerlo publico para que todos aprendamos de una vez por todas …
ademas, para que el publico sea mas vivo en defender sus derechos y que sepa que estas cosas pasan mucho
mas de lo que uno cree.”
Me parece bastante irresponsable usar esto como justificación. No me mal interpreten, yo no estoy defendiendo
a la Universidad, pero me pongo en el lugar de los alumnos y no me hace ninguna gracia que en un sitio con tantas
visitas como FayerWayer hayan hecho público el error sin que se haya solucionado primero la falla para resguardar la información
de los afectados, que hayan descargado las bases de datos y que se laven las manos diciendo que no son los responsables
de la seguridad de otras entidades.
Yo tengo claro que no son los encargados de seguridad de la Universidad pero para hacernos conscientes
de nuestros derechos como ciudadanos (hoy practicamente como “clientes”) era suficiente con informar de la falla
y no enseñar la manera de explotarla.
Saludos.
-2patoko dijo el 22-8-2008 a las 14:07:
ah y se me olvida… ese comentario de los “ingenieros” de FW no tiene validez si el indexamiento para google esta avisado para que se realice cada 1 día, semana o mes. Las paginas estaran a la vista mientras en el servidor no se bloquee las carpetas que contienen los directorios con la info y la está seguira apareciendo en google hasta que el “robot” pase de nuevo y vea que ya no debe publicar esa URL.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 14:10:
108Para los que no entendieron lo del ROBOTS.TXT … es sarcasmo muchachos !!!
0s0x dijo el 22-8-2008 a las 14:10:
Esto no es novedad, pasa en todos lados, es cosa de ver que lso datos de los alumnos de la Universidad Adolfo Ibañez (UAI) están en todos lados. Incluso, los mismos alumnos pueden acceder libremente, e incluso se pueden ver las notas de todos.
Esto es hasta el día de hoy. Da risa la nula seguridad que tienen en algunas partes. Ni hablar la cantidad de SPAM que llega a los correos de la u, ya que está más que filtrada la db con los correos de todos los alumnos. Lo digo con conocimiento de la causa, ya que yo soy alumno de ahí.
1Gon dijo el 22-8-2008 a las 14:15:
@Alexander Sheck, sarcasmo o no, un robots.txt:
1) NO ASEGURA que otro motor de busqueda no indexe links hacia adentro del sitio si es que es público.
2) Verdadera segudirdad no pasa por un archivo de texto, pasa por el servidor web (sus reglas) más un firewall (y sus reglas).
3) Además existen otras formas de seguridad mucho más complejas, vpns, redes nateadas, mods de seguridad, virtualización, clustering, etc… un simple archivo de texto servido por web no es ningun escudo, apenas es una bandera blanca.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 14:17:
112@Gon OBVIAMENTE pues… pero mira, en lo mas suave de las seguridades han fallado para comenzar…
3Exekutor dijo el 22-8-2008 a las 14:18:
La cagaron. lo que dice Alexander del robots.txt , o configurar el server pa no hacer listing, o password de todas maneras se puede llegar a ella si se quiere, no desde google, pero se puede.
Ese tipo de información se debería manejar a nivel de Intranet, no expuesta directamente a todo el mundo. Si hay que trabajar con ella desde afuera, escritorios remotos….. realmente me da vergüenza como pudo haber pasado algo así.
Como dijeron, al final le van a echar la culpa al “juaker”. Un representante del gobierno va a decir que no sabe ni prender un computador y la cosa va a quedar ahi.
4ikiriki dijo el 22-8-2008 a las 14:18:
Me parece que FW (que podrá tener la mejor intención) equivoca la forma de dar a conocer este tipo de situaciones. Una cosa es informar y otra cosa es dar las herramientas para que inescrupulosos puedan hacer un mal uso de la información. En este caso, y en el anterior (el de las BD) hubiese sido mejor que no indicaran cómo acceder, sino solo una descripción general de la falla.
Entiendo que no deseen ‘hacerle la pega’ a los informáticos de la USACH pero otra cosa distinta es dar todos los paso necesarios para que alguno (de los miles de visitantes que, me imagino, tienen) accese los datos, en nombre de “aprender de los errores”.
8F dijo el 22-8-2008 a las 14:19:
Con el fin de ayudar a la USACH, nuestros ingenieros en computación han desarrollado el siguiente código y pseudo-algoritmo para que ellos lo pongan en sus servidores y eviten este problema a futuro:
User-agent: *
Disallow: /admision2008/
Disallow: /admision2007/
¿Esto es para ayudar o para seguir festinando con el error de la USACH?
Creo que avisar a los responsables es un acto de caridad que hubiera demostrado tino por parte de Mr. Chip. Imagino que le quemaban las manos por postear esto, pero un poco de caballerosidad no daña a nadie.
18Luis dijo el 22-8-2008 a las 14:20:
@Alexander Schek (Mr.Chips)
creo q estas cosas deberian ser posteadas de la siguiente manera:
‘tal persona descubrio bla bla… (el error aca), y nosotros LUEGO de contactar al departamento encargado en la usach, y luego de proteger los datos procedemos a informarles….’
total, aca lo q importa es la ‘noticia’ o no?
“Mr Chips: el error es tan estupido que es mejor hacerlo publico para que todos aprendamos de una vez por todas …”
JAJAJAJA, o sea pasemosle las llaves de nuestra casa a todos los ladrones, para q aprendamos a cuidar mejor nuestras llaves y nuestras casas. plop
PD: no soy de la usach ni nada, simplemente lo encuentro impresentable
-1++Vitoco dijo el 22-8-2008 a las 14:23:
Poner un disallow a un useragent no impide el acceso a los archivos contenidos en esa carpeta, sólo evita que robots que respeten el estándar indexen su contenido.
Por otro lado, si Google indexó ese contenido, fue porque de algún otro lado pilló la referencia. Si existía el link a esa URL, cualquiera podría haber entrado a esa carpeta y tomar los archivos con Firefox o lo que fuera.
Me parece que el error fue permitir la indexación automática de esas carpetas por parte del servidor web, o bien debieron haber puesto ahí el index.html|htm|php|asp respectivo para mostrar un mensaje ad-hoc o redirigir la consulta a la home.
De todos modos, ignoro si los archivos con info sensible realmente debieron estar en un lugar con acceso público o si debió usarse algún método de autenticación.
PD: No sé si en la USACH están cortando los requests a esa carpeta o si simplemente se saturaró el servidor por culpa de esta publicación 
-6Marcel Jordán G. dijo el 22-8-2008 a las 14:23:
Y si no fue un error? si solo se permitio el ingreso?
errar es humano pero esto la cago, mas de seguro saldran mis ex en esos datos…SPAMERS!!!! envienle puras weas muajajajajaj
la usash es media transfuga aun veo lo que paso con los “peritos” y perdieron años y dinero …
pero bueno si el lenguaje del bot es malo es porque siempre estan en paro xD!!!!!
Saludos
-3Checho dijo el 22-8-2008 a las 14:26:
los encargados salieron a las areas verdes de la usach al parecer….
y andan toos waylas con sus alumnos
6Gon dijo el 22-8-2008 a las 14:27:
@Marcelo Jordán, estas en un error. “Los peritos” no estuvieron estudiando en la usach. Estuvieron en la UTEM.
No dispare si no sabe pa donde…
Un error de la JUNAEB en Chile expone datos privados de becarios
Stasi: Nuevamente los datos de millones de chilenos disponibles en la red
Feliz Navidad: Diputados chilenos quieren desconectarte de internet
¿Twitterank es un servicio que roba tu clave de Twitter?
FW Exclusivo: Bruce Schneier nos habla sobre la filtración de datos privados en Chile
¿Es privada la información personal en Chile?
Gobierno comienza investigación de filtración de datos personales de 6 millones de chilenos
ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet
Prueba gratis Producto Protegido
Producto Protegido pretende parar pérdidas de productos personales
Proveedores de Internet empiezan a bloquear el puerto 25
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 2 3 [4] 5 6 7 … 10 Próximos 30 Comentarios →