ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
Publicado el 22-8-2008 a las 13:05 por 
Alexander Schek
Alexander Schek 
[Actualización] @04:08pm: Creo que es necesario aclarar que SI nos comunicamos con la USACH y coordinamos con ellos para asegurarnos que la falla de seguridad haya estado resuelta. Hable con Dennis Carrasco, Editor Portal USACH, con quien confirmamos que los datos ya están protegidos y no pueden ser accesados. ¡Tan irresponsables no somos! — Leo Prieto
———
[Actualización] @12:55pm: (Sarcasmo mode: ON) Con el fin de ayudar a la USACH, nuestros super ingenieros en computación han desarrollado el siguiente código y pseudo-algoritmo para que ellos lo pongan en sus servidores y eviten este problema a futuro:
User-agent: *
Disallow: /admision2008/
Disallow: /admision2007/
———
Si piensas que ya lo has visto todo en cuanto a seguridad informática en Chile, la siguiente noticia te hará recapacitar. Y no, esta vez no es culpa del Gobierno ni tampoco se trata de un hackeo malicioso.
Nuestro lector Andrés Pontt descubrió de puro curioso que al ingresar directamente en Google una cierta búsqueda (bastante sencilla) se abre un mundo de posibilidades para tener acceso a miles de registros personales de alumnos y docentes de la Universidad de Santiago de Chile.
Esto no es un trabajo de un Hacker, el sitio de la Universidad no ha sido violado, ni tampoco es culpa de Google.
En este caso en específico la responsabilidad cae en la USACH directamente ya que al parecer no ha hecho nada para proteger esos datos privados, que ya son públicos.
Es un grave pero simple problema de ingeniería humana, el eslabón más débil en toda estrategia de seguridad.
Google y otros buscadores inocentemente piensan que esos archivos en esos directorios son contenido normal y público, y lo meten a su índice de búsqueda ya que la USACH no lo tiene protegido de ninguna manera, ni ha instruido a los buscadores de no indexar esas bases o directorios.
Hemos bajado varias bases de datos, y como podrán ver en las fotos, en una de ellas nos encontramos con 238.000 registros de alumnos, con su dirección, correo electrónico, teléfono, RUT, etc… El sueño del Spammer, el botín del pirata informático.
Todo lo anterior es un simple descuido por parte de la Universidad… muy entretenido de mirar…
Link: Buscando en Google (Blog de Andrés Pontt)
Publicado por Alexander Schek el 22 de August 2008 en la categoría Destacados, Internet con los tags Alerta, Chile, Seguridad, USACH. Tiene 284 comentarios.
Compartir284 Comentarios
ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
2Meloku dijo el 22-8-2008 a las 15:50:
@Clayton:
Pues los rotos somos de bastante mejor calaña que tu.
14Maxtrix dijo el 22-8-2008 a las 15:50:
Son Imbéciles, con todas sus letras, porque publican esta noticia siendo que el error estaba aún activo, o sea, un cero a la izquierda la ética profesional.
Apuesto que si se filtra la base de datos de ustedes y de todos sus conocidos y familiares por un error humano y otro sitio toma eso y lo publica antes que lo arreglen, estarían alegando como centro de madres.
2skol dijo el 22-8-2008 a las 15:53:
Por la cresta, otra vez mi U dando jugo en la red. Yo pensé que ese problema ya lo tenían solucionado, porque hace unos 4 también les paso algo parecido, solo que aun peor, porque todo estaba indexado en un buscador hecho por la misma U y tu podías encontrar a cualquier persona solo ingresando algún dato que supieras de ella como: nombre, apellido, comuna, carrera…etc y salia una lista completa con todas las personas que coincidían con lo que buscabas, después solo era cuestión de descartar algunas personas de la lista y ya tenias acceso sin restricción a toda la info privada de la persona que andabas buscando (la mina mas rica de la U) con foto incluida (era la foto de la credencial).
Saludos y ojala que mi U no se vuelva a pasteliar.
-4J. Orango dijo el 22-8-2008 a las 15:54:
Lo mejor es demadar colectívamente a la USACH por daños y perjuicios. Ya está bueno que estás seudo-universidades (y me refiero a todas) dejen de ordeñar a los estudiantes como si fuera ganado vacuno estrujándoles las billetras y no entregando nada de calidad a cambio. Los estudiantes van sólo a copiar al pizarrón, las bibliotecas son un chiste, no hay laboratorios, no hay, no hay NADA que se asemeje a las instalaciones de una verdadera Universidad. Si hasta los institutos tienen mejores instalaciones y cobran menos.
Sólo queremos verdaderas Universidades!
8Gabriel Bernedo dijo el 22-8-2008 a las 15:58:
@Chips:
No se trata de que es legal o ilegal, menos aún metas a las leyes americanas… el marco legal allá es tan liberal que hasta matar es legal mientras tengas un buen abogado que se ampare en un resquicio.
Te hablo de ética, eso que tenemos todos los profesionales (supuestamente). Etico era hacer lo que dijo Luis, avisar a la Usach y cuando arreglaran el problema, ahí recién publicar, incluso hasta con detalles sobre como ingresar a los registros, con el fin de que otros probaran sus servidores o que se yo. (hacer la información útil para los demás)
Se supone que son un medio serio, no pueden ser como El Antro que publica lo que sea en forma bastante irresponsable.
Al menos esa es mi visión.
Saludos y gracias por responder.
-4Francisco Fuentes dijo el 22-8-2008 a las 15:59:
@Maxtrix: Esa pifia quizas de cuando estaba y quizas cuantos de aprovecharon de ella. Ahora que salio a la luz publica los super “adminitradores” la arreglaron supuestamente, si no se ubiese hecho escandalo sobre el tema lo mas seguro es que los tipos descuidados no lo ubiesen arreglado.
Asi que no salgan llorando conque “hay vieron mis datos” contra los tipos que sacaron a la luz esta pifia. Claro que hay que alegar pero contra el gobierno que no legisla sobre la importancia de la información, ya que las empresas y las instituciones les importa un comino que sus datos no sean 100% seguros porque las multas por estos errores humanos son bajos.
salu2
3Maxtrix dijo el 22-8-2008 a las 16:01:
“Alexander Schek (Mr.Chips) dijo hace 3 horas:
10
@valeria Sabes, el error es tan estupido que es mejor hacerlo publico para que todos aprendamos de una vez por todas … ademas, para que el publico sea mas vivo en defender sus derechos y que sepa que estas cosas pasan mucho mas de lo que uno cree.
No creo que tenemos que ser nosotros los que tenemos que velar por los datos de la Universidad, es la propia Universidad que tiene que tener mas cuidado….. no crees? Saludos y gracias por tu comentario !”
O sea para ti Sheck es asi la cosa “ohh un error humano y tonto en una DB, lo voy a publicar a todo el mundo para que se dé cuenta del error”
Pero te olvidaste de una cosa, al hacerlo público tambíen CONDENASTE a los alumnos de la USACH que no tenían nada que ver con este error de ser perjudicados.
TE EXIJO A QUE DES DISCULPAS PÚBLICAS A NOMBRE DE TODOS LOS ALUMNOS DE LA USACH, porque si hubieras querido darlo a conocer de buena manera, primero te hubieras cerciorado que estuviera la falla arreglada.
9Andrés C. dijo el 22-8-2008 a las 16:01:
Mr. Chips, ponte de acuerdo poh… Cuando pasó el condoro de Dell con los NB de 70 lucas dijiste que los que habían comprado y habían corrido la voz de que estaba la “oferta” esa eran unos aprovechadores, acá también hay aprovechamiento de parte de FW (o tuyo específicamente) al publicar esto, porque además, tomando en cuenta la cantidad de visitas que tiene esta web, ayudas a que los aprovechadores tengan esta información y luego la ocupen con los fines que ya todos conocemos y que nos tienen los mails repletos de Spam… Por suerte, no estoy en ese listado, pero pienso que no estuvo bien que esto se publicara de esta manera, mucho menos si aún no se le da solución al problema.
16Leprosy dijo el 22-8-2008 a las 16:02:
Puras opiniones desinformadas, yo cacho a los que trabajan en Segic y mas omenos me ocntaron que cagazo…y es algo totalmente alejado de lo que estan hablando aca de seguridad de servidores y quebrandose con lineas de .htaccess (que ni cachan seguramente)…solo 2 puntos…. :
1)Si, hubo un error informatico, este fue gravisimo y debe ser corregido y darsele la importancia debida. Ahora, las razones de fondo de ese error, son conocidas por pocos(salvo que conozcas la realidad de la administracion USACH) y deberian tambien ser tomadas en cuenta…es super facil publicar un cagazo pa que 150 ñoños empiecen a tirar mierda contra la Usach sin tener idea que mierda paso en realidad.
2)TREMENDO CAGAZO el de Fayerwayer de dar los enlaces, hacer pasto de un error que perfectamente les podria haber pasado a ellos tb o a cualquiera.
Mr. Chips … ¿pq no publica tonteras en un blog personal? si quiere rating vaya a LUN o algo asi a cuchichear… se supone que aca se debate de tecnologia y se puede usar eso para tratar de mejorar y tirar pa adelante la informatica con ideas constructivas,.
-1mastermind dijo el 22-8-2008 a las 16:05:
Cero etica chips, de que te sirvio radicarte en USA si no has aprendido nada mas alla de tu soberbia ?
Gracias a ti el sitio pierde muchisima credibilidad, lo estas tranformando en un pasquin sensacionalista.
Desde ahora lo llamare FAYER-LUN.
Todo gracias a ti chips.
PD: Que se puede esperar de alguien que mostro la foto del cadaver de Kurt Cobain con el balazo en la frente en TV Abierta (canal 2) cuando no era mas que un guaton computin morboso, veo que solo en lo guaton cambiaste.
4pock dijo el 22-8-2008 a las 16:05:
Mr potato chick….
Te mande un mail a tu gmail…
El error sigue activo, son muy repasteles….. lo publicaste a las 13 hrs, son las 16 hrs 3 horas y los inutiles siguen vulnerables
-1Maxtrix dijo el 22-8-2008 a las 16:10:
@Francisco Fuentes: ¿que tiente que ver el gobierno en todo esto?, esta falla fue en una BD de una universidad, además dieron la alarma y publicaron al tiro, en vez de hacerlo primero avisar del error, y cuando este arreglado, publicarlo, pero en caso que no lo arreglaran en un tiempo prudente, avisar por otros canales menos masivos a personas que tuvieran influencia en estos asuntos pertinentes.
además estas seguro 100% de que si no se hace publico NO lo arreglen, ¿o sea, los admins del sistema, esperarían cagarse su carrera de webmaster, administrador de sistemas?
6Juan Pablo dijo el 22-8-2008 a las 16:10:
@Chips: me defraudaste. Una cosa es “burlarse” de la seguridad de una institución y la otra es llegar y hacer públicos los datos que, si bien por equivocación humana y ajena a la tuya, estaban a la luz pública, no tienen por qué saberse y de alguna manera podría comprometer tu persona en actos de divulgación de información confidencial.
Mal por FW, no tienen la culpa pero espero tengan más cuidado
Sí, estudio en la USACH, la verdad me importan una wea mis datos personales, si total de alguna u otra manera alguien los va a vender a otro gil, espero que no se ocupen con malas intenciones nada más. Creo que haré un tracking de esto en la U de manera interna para que den explicaciones y algún tipo de respuesta y se hagan cargo de esto, y para Mr. Chips y los que resulten responsables de esta divulgación, pidan disculpas personales.
Saludos.
1Francisco Fuentes dijo el 22-8-2008 a las 16:14:
@Leprosy: es que no pasa con conocer el trasfondo del error o la administracion de esos datos. Un error asi no existir y punto.
Tampoco pasa por el prestigio de la universidad, sino por un hecho puntual que es el cagaso que se mandaron los administradores de esa informacion.
Claro que debe haber etica profecional. FW devio haber avisado a la institucion antes de publicar. Pero tambien existe la calidad profecional, no pueden poner a un par de tipos hay que quizas no tenian idea que habia un error hay pero de todas formas ellos son los responsables de lo sucedido.
salu2
10Ricardo dijo el 22-8-2008 a las 16:16:
@Mr.Chips
Espero que pienses en el daño que causaste a muchos estudiantes que no tienen nada que ver con el error, y que seas lo suficientemente hombre como para pedir disculpas e incluso renunciar a la redacción de posts en este blog.
Te mandaste un condoro gigante, perjudicaste a gente inocente y tus comentarios defendiéndote dejan ver que no tienes ningún tipo de ética profesional.
Mal por ti, y por todos tus compañeros, los cuales (espero que no tengan culpa) deben ver como se desprestigia este blog.
9Carlos dijo el 22-8-2008 a las 16:16:
PERO ESTO ES MAS VIEJO QUE EL HILO NEGRO
Hace años que estan haciendo lo mismo.
Ni un brillo su noticia.
-7Marraqueta dijo el 22-8-2008 a las 16:19:
@Ricardo:
renunciar al cargo de editor? jajajajajajajajajajajajajajajaja.
para de hablar ridiculeces, porfa
7Elias dijo el 22-8-2008 a las 16:20:
En efecto, es una falla de la universidad, pero ustedes también deben de transmitir esta información de forma responsable y luego de haber tratado directamente con la USACH ese tema.
NO depende de ustedes decidir sobre un tema tan DELICADO como éste. Es un problema estúpido? Jaja! Qué risa! Pero igual están transmitiendo la información de forma irresponsable y sin siquiera consultarlo con nadie más, ya sea alguien de la universidad o por lo menos un alumno de la universidad en cuestión.
A veces hay que pensar más en las demás personas y no en las ganancias para el medio de comunicación donde trabajan…
Que la USACH proteja bien a sus alumnos, pero ustedes también, sobretodo por la cantidad de personas que los leen a diario…
Saludos.
5Javier dijo el 22-8-2008 a las 16:20:
Aqui el punto es que FayerWayer debió haber tenido un poco más de empatía social y haber reportado el hecho a las autoridades pertinentes (universidad), para resguardar la información de miles de usuarios que no tienen la culpa del enorme agujero de seguridad que tiene la entidad.
Da lo mismo si en USA, India o Fiji hubiesen hecho otra cosa, acá no se trata de sociedades diferentes ni de otras culturas. El error de la USACH es enorme e impresentable, pero como medio de comunicación serio y responsable, FayerWayer debió tener una postura con mayor altura de mira, primero informando a la entidad afectada, segundo no publicando el método directo y el link para hacerlo, por último haber esperado a que solucionaran el asunto antes de dar las instrucciones para acceder a la información. Esa es mi opinión y nada más.
leo prieto dijo el 22-8-2008 a las 16:20:
171Creo que muchos se adelantaron en opinar y en crucificar a Schek sin antes haber revisado bien que la información ya estaba protegida. Ahi actualicé el post al principio para que quede claro.
Quizás faltó aclarar en el post mismo que nosotros si nos comunicamos con la USACH y confirmamos con ellos que la falla de seguridad haya sido resuelta. De hecho, yo personalmente hablé por teléfono con ellos y antes de cortar me habían confirmado que el problema estaba resuelto.
Creo que varios necesitan revisar bien lo que han dicho ya que nosotros jamás publicamos siquiera un link hacia la información, simplemente informamos que una universidad ha tenido de manera desprotegida en internet y durante bastante tiempo (más de un año según nuestros cálculos) información de 238.000 personas (estudiantes de la universidad más postulantes del proceso de adminisión).
0Francisco Fuentes dijo el 22-8-2008 a las 16:21:
@Maxtrix: mi punto es que si no hay una legislacion que sancione cagazos como estos, las instituciones van a seguir sin tomar encuenta la importancia de los datos que ellas manejan.
Para ser mas tecnico, eso no fue un error de la base de datos sino de la seguridad establecida en el servidor web. Porque los datos que estan ahi estan en archivos de texto.
Es lamentable la situacion, ojalá lo solucionen lo antes posible.
salu2
0Ricardo dijo el 22-8-2008 a las 16:21:
@marraqueta,
Nunca dije cargo de editor. No sé que diablos estás leyendo.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 16:22:
174@TODOS Nosotros SI nos comunicamos con la USACH y coordinamos con ellos para asegurarnos que la falla de seguridad haya estado resuelta….
6Cristobal Maldonado dijo el 22-8-2008 a las 16:23:
Holas:
no es por defender a la usach, pero el problema se debio al descuido de gente que tiene muy poco o nada que ver con la carrera de ingenieria en informatica y por lo tanto es bastante feo generalizar y decir que la enseñanza la enseñanza es mala o que la carrera es mala…
6Juan Pablo dijo el 22-8-2008 a las 16:25:
@Leo-Prieto: el link directo no estaba, pero sí estaba el link para llegar a la información en cuestión.
Por otra parte, OBVIAMENTE aclarar que se habían contactado con la Universidad fue un error porque se presta para confusiones, o acaso nosotros deberíamos adivinar que ustedes si lo habían hecho. Se está volviendo costumbre como en mucho de los diarios nacionales, dar la noticia adulterada o incompleta, eso habla mal de ustedes, siempre han entregado las noticias de forma transparente, espero que lo sigan haciendo.
Para finalizar, faltan las disculpas personales de Asheck como corresponde. Gracias a tí por informar como se debe y de haberlo hecho también con los encargados del sitio de la Usach.
Saludos.
8Ricardo dijo el 22-8-2008 a las 16:25:
@leo prieto,
No tomes a mal lo que escribo, yo fui uno de los que dejó de comprar en globalmac cuando denunciaste lo roto que fueron contigo, y fui también quien habló con el segic telefónicamente a las 12.20 para contarles lo que pasaba, y hasta esos momentos no habían sido informados por nadie, ni siquiera conocían el post en este blog. No digo que no hayas hablado con ellos, pero sí tengo certeza que fue después que publicaran esta noticia.
6Andrés C. dijo el 22-8-2008 a las 16:27:
leo prieto dijo hace 46 segundos:
“Creo que muchos se adelantaron en opinar y en crucificar a Schek sin antes haber revisado bien que la información ya estaba protegida”.
Entonces por qué salió Schek dando una solución al problema??? el super script y todo eso??
también dijo: “… jamás publicamos siquiera un link hacia la información… ”
Yo me acuerdo haber hecho click en “site:usach.cl admision2007″ y haber llegado a la página de los resultados de google que donde se encontraban los links directos a la info…
Ver Comentario... Marraqueta dijo el 22-8-2008 a las 16:29 ...
Un error de la JUNAEB en Chile expone datos privados de becarios
Stasi: Nuevamente los datos de millones de chilenos disponibles en la red
Feliz Navidad: Diputados chilenos quieren desconectarte de internet
¿Twitterank es un servicio que roba tu clave de Twitter?
FW Exclusivo: Bruce Schneier nos habla sobre la filtración de datos privados en Chile
¿Es privada la información personal en Chile?
Gobierno comienza investigación de filtración de datos personales de 6 millones de chilenos
ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet
Prueba gratis Producto Protegido
Producto Protegido pretende parar pérdidas de productos personales
Proveedores de Internet empiezan a bloquear el puerto 25
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 … 3 4 5 [6] 7 8 9 … 10 Próximos 30 Comentarios →