ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
Publicado el 22-8-2008 a las 13:05 por 
Alexander Schek
Alexander Schek 
[Actualización] @04:08pm: Creo que es necesario aclarar que SI nos comunicamos con la USACH y coordinamos con ellos para asegurarnos que la falla de seguridad haya estado resuelta. Hable con Dennis Carrasco, Editor Portal USACH, con quien confirmamos que los datos ya están protegidos y no pueden ser accesados. ¡Tan irresponsables no somos! — Leo Prieto
———
[Actualización] @12:55pm: (Sarcasmo mode: ON) Con el fin de ayudar a la USACH, nuestros super ingenieros en computación han desarrollado el siguiente código y pseudo-algoritmo para que ellos lo pongan en sus servidores y eviten este problema a futuro:
User-agent: *
Disallow: /admision2008/
Disallow: /admision2007/
———
Si piensas que ya lo has visto todo en cuanto a seguridad informática en Chile, la siguiente noticia te hará recapacitar. Y no, esta vez no es culpa del Gobierno ni tampoco se trata de un hackeo malicioso.
Nuestro lector Andrés Pontt descubrió de puro curioso que al ingresar directamente en Google una cierta búsqueda (bastante sencilla) se abre un mundo de posibilidades para tener acceso a miles de registros personales de alumnos y docentes de la Universidad de Santiago de Chile.
Esto no es un trabajo de un Hacker, el sitio de la Universidad no ha sido violado, ni tampoco es culpa de Google.
En este caso en específico la responsabilidad cae en la USACH directamente ya que al parecer no ha hecho nada para proteger esos datos privados, que ya son públicos.
Es un grave pero simple problema de ingeniería humana, el eslabón más débil en toda estrategia de seguridad.
Google y otros buscadores inocentemente piensan que esos archivos en esos directorios son contenido normal y público, y lo meten a su índice de búsqueda ya que la USACH no lo tiene protegido de ninguna manera, ni ha instruido a los buscadores de no indexar esas bases o directorios.
Hemos bajado varias bases de datos, y como podrán ver en las fotos, en una de ellas nos encontramos con 238.000 registros de alumnos, con su dirección, correo electrónico, teléfono, RUT, etc… El sueño del Spammer, el botín del pirata informático.
Todo lo anterior es un simple descuido por parte de la Universidad… muy entretenido de mirar…
Link: Buscando en Google (Blog de Andrés Pontt)
Publicado por Alexander Schek el 22 de August 2008 en la categoría Destacados, Internet con los tags Alerta, Chile, Seguridad, USACH. Tiene 284 comentarios.
Compartir284 Comentarios
ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]
5Javier dijo el 22-8-2008 a las 16:29:
Leo, sí publicaron un link directo a google con la secuencia detallada para hacer la búsqueda, y la información estaba disponible para descargarla. Si la falla fue resuelta fue hace sólo unos minutos, y por otro lado es el mismo Alexander el que dijo: “el error es tan estupido que es mejor hacerlo publico para que todos aprendamos de una vez por todas ” y “No creo que tenemos que ser nosotros los que tenemos que velar por los datos de la Universidad, es la propia Universidad que tiene que tener mas cuidado”. Lo que no me parece muy responsable.
Es un tema complicado y supongo que es su política editorial, pero en mi opinión no habría estado de más poner en la misma noticia que dieron aviso ¿no?. O esperar a que la falla se corrigiera para publicar la falla detallada con un simple update en la noticia.
Muchos saludos.
1Cristián R. dijo el 22-8-2008 a las 16:30:
Ok Alexander, pero primero, y sin embargo al momento de leer la noticia bastó con ver las imágenes para replicar el problema en cuestión y pude tener acceso a la información. Segundo, soy estudiante vespertino de la usach y es cierto que hay problemas, pero no es bueno crucificar a toda una universidad y a sus alumnos, ahí trabaja gente responsable y competente, pero lamentablemente como en todos lados hay gente incompetente. Por otro lado cada departamento publica sus propios sitios, no existe norma al respecto. Lamento lo sucedido, esto cala hondo en el corazón de un usachino.
Atte.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 16:31:
183@Juan Pablo: No entiendo porque tengo que dar disculpas yo y sobre que? Creo que la USACH se tiene que disculpar con sus alumnos… no crees?
leo prieto dijo el 22-8-2008 a las 16:33:
184@Juan Pablo: Tienes razón, eliminé el link a la búsqueda de Google también ya que aún se puede encontrar en su cache. Nosotros no adulteramos la información, sólo que a veces podemos ser un poco torpes en nuestro entusiasmo por informar. Siempre corregimos nuestros errores en todo caso y reconocemos cuando nos equivocamos.
@Ricardo: Gracias por tu preocupación, veo que no fui el único que decidió llamarlos y advertirles. Es cierto, yo los llame cercano a las 13:00 horas. Habíamos enviado un correo a webmaster@usach.cl con anterioridad, pero nunca recibimos respuesta, por eso decidimos intentar llamar. Cuando yo hablé con ellos tampoco sabían del post en este blog (de hecho, ni siquiera habían oído hablar de FayerWayer). 
5Nicolas dijo el 22-8-2008 a las 16:38:
FL ======> Fayer-LUN
Si se contactaron o no con la USACH, creo que debieron COMPROBAR que efectivamente los link’s ya no funcionaban….. falta de PROCEDIMIENTO ÉTICO….
Bajando la categoria del portal….
4Ricardo dijo el 22-8-2008 a las 16:38:
@Leo prito:
De nada, sólo digo que somos nosotros quienes debemos preocuparnos por nuestros pares. Dentro de mi enojo quieres saber algo divertido? cuando les nombre que había este alerta en ‘fayerwayer’ escribieron firewire y no encontraron nada. Plop!
Ahora sólo falta que mr.chips se excuse.
Paso por hoy.
5Javier dijo el 22-8-2008 a las 16:42:
Veo que los editores no se ponen de acuerdo jejeje…
Alexander Schek: “No entiendo porque tengo que dar disculpas yo y sobre que?”
Leo Prieto un post más abajo 1 minuto después: “…a veces podemos ser un poco torpes en nuestro entusiasmo por informar. Siempre corregimos nuestros errores en todo caso y reconocemos cuando nos equivocamos”
Pregunta y respuesta. Saludos!
-1fdocmac dijo el 22-8-2008 a las 16:43:
La lista que anda dando vueltas por ahí (he recibido un correo de EMAILDATOSCHILE@gmail.com, ofreciendo un CD de DATOS que dice ser el “completo pack para realizar una campaña publicitaria masiva”, que desborda de direcciones y programas para “facilitar la tarea”, y “por solo 40 mil pesos”) acaba de requete crecer; el sueño de los bancos y otras tantas compañías de servicios.
3Rdiaz dijo el 22-8-2008 a las 16:45:
@Mr.Chips: Una compañera mi trabajo dio aviso al rector de la universidad para dar aviso de lo que estaba pasando, por lo que ya me parece un poco extraño lo que estas hablando acá…
Por otro lado, las disculpas deberias darlas igual, ya que dejaste público un link que ni el 1% quizás sabia del problema de seguridad que tenia la Universidad.
Creo que debes ir pensando un poquitito en lo que hicieron al dejar expuesta la informacion de las personas.
-3max dijo el 22-8-2008 a las 16:47:
yo estudio en la usach, y es una de las mejores rankiadas de chile… de entre 66 universidades, está 3ra. 5ta en otros rankings, de seguro los que alegan son de esas universidades privadas chantas. hay que reconocer que el error fue tonto… pero tampoco empiezen a descalificar a la universidad… los que no sean de la fed. sta maria, puc, uchile … no webeen…
6marcela dijo el 22-8-2008 a las 16:48:
oye ya po cortenla, en verdad leer sus comentarios es un “copy paste” de una discusion de pareja, siempre repitiendo lo mismo “estuvo mal diculpate, disculas porque?, eres feo, estuvo feo, tu mama es fea..”… que onda… si esta publicacion es grave en el asunto de spam…. ya y???…. es mas grave quedarse callados…
todos ustedes parecen niñitas!!!…..
“Sr Lays” jejeej… no den mas explicaciones, es eso lo que se necesita para seguir con polemicas… ya pue si aca la gran mayoria somos profesionales o estamos a punto de serlo…
solo tengo una pregunta… hay mas tecnologia nueva o inventos circulando por la red???
-5Juani Valdés dijo el 22-8-2008 a las 16:49:
Tanto escándalo señores, acá el único responsable es la universidad y NADIE más.
FayerWayer solo cumplió el cometido de informar como siempre lo hacen
Y a los estudiantes en vez de tirar abajo la dedicación, tiempo, preocupación de los chicos… les recomiendo tomar acciones de inmediato contra su universidad y dejar de tirar mierda a quien les hizo un favor
0fdocmac dijo el 22-8-2008 a las 16:49:
La lista que anda dando vueltas por ahí (he recibido un correo de EMAILDATOSCHILE@gmail.com, ofreciendo un CD de DATOS que dice ser el “completo pack para realizar una campaña publicitaria masiva”, que desborda – en serio, dice tener una cantidad monstruosa de información – de direcciones y programas que te “facilitan la tarea”, y ello tan solo por 40 lucas!) acaba de requete crecer; el sueño de los bancos y otras tantas compañías de servicios. La nueva era del SPAM en Chile.
5E Lillo dijo el 22-8-2008 a las 16:51:
No hay que ser un gran analista para darse cuenta que publicar el link hacia los archivos está totalmente fuera de cualquier “ética” que pudiese existir dentro de este medio, y encuentro bien difícil que “Mr. Chips” u otro moderador de Fayerwayer no se de cuenta de ello… de ahi a que busquen excusas u otro subterfugio para que parezca correcto es otra cosa… lo que quieren es enmascarar un medio para generar visitas y causar “controversia”.
Yo leo fayerwayer.com desde hace bastante tiempo, y me considero tambien un ex-fanático del mitico programa de “Mr. Chips”, por lo cual me alegre bastante cuando vi que se unia al blog… Pero lamentablemente me he llevado grandes decepciones con sus posteos, al nivel de darme pena por fayerwayer.com y no querer volver…
1Nicolas dijo el 22-8-2008 a las 16:52:
FL : “Es un grave pero simple problema de ingeniería humana, el eslabón más débil en toda estrategia de seguridad.”
@Javier : “Veo que los editores no se ponen de acuerdo jejeje…”
Conclusión: Mr.Chips ….. el eslabón más débil en toda estrategia…. XD
————————— F I N —————————
5guerosinfe dijo el 22-8-2008 a las 16:53:
como estos conchesumadres les interesa el trafico en su sitio para ganar dinero….publican noticias sin pensar en el daño que se le hace a una institucion y mas aun a alumnos de la universidad.
metanse las disculpas en la raja y sean mas concecuentes con sus acciones.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 16:55:
197Bien ya lo ha dicho Leo, todos somos bien torpes en nuestro entusiasmo por informar… y créanme.. de todos los FayerWayerano.. YO SOY EL MAS TORPE DE TODOS !!
En todo caso, este tema, antes de publicarlo lo discutimos, es más, Andrés (el que nos mandó esto) nos escribió y Leo preguntó quién quería escribir sobre ello….. naturalmente saltó el más torpe primero !! 
Antes de sacar la nota al aire, la vimos entre todos y decidimos que obviamente no había que tirar links a la base misma, ya que no tenía sentido.. y esto tampoco lo hicimos. Pero si decidimos tirar el string de Google, para que vean lo simple que era encontrar la información. Ahora, ya quitamos ese string como pueden ver.
Nunca hemos querido meter mala onda, por lo contrario, esta es una gran comunidad. Lo que pasa es que es increíble que estas cosas a un nivel tan básico sucedan en un país muy admirado internacionalmente por adoptar nuevas tecnologías. Por eso, de alguna manera SI tiene que ser planteado de una forma que cause ruido para que otros reaccionen o verifiquen sus sitios, etc.. etc..
Saludos a todos, y como siempre, super buenos todos sus comentarios !! Rock On !
Yo en mis tiempos en Chile he dado charlas en la
-8macruza dijo el 22-8-2008 a las 16:56:
Cómo tan Weo…………………………………………………………………Chile Código Abierto
5Victor dijo el 22-8-2008 a las 16:58:
Como mencionaron recientemente, el departamento de ingeniería informática y Segic-usach no tienen nada que ver (son unidades totalmente independientes dentro de la universidad).
check
http://www.segic.cl/
http://www.diinf.usach.cl/
Lamentablemente un error de SEGIC afecta la imagen de toda la universidad y en especial del departamento de ingenieria informatica. Deberian ser mas responsables al publicar informacion tan sensible.
Ver Comentario... mastermind dijo el 22-8-2008 a las 16:58 ...
1Juan Pablo dijo el 22-8-2008 a las 17:03:
@asheck: escribí un mail a la Federación de Estudiantes para que estén al tanto y para que los administradores del sitio de la Usach efectivamente pidan disculpas, me parece una vergüenza que tengan vulnerabilidades de ese tipo. Estoy indignadísimo con la administración tecnológica de la Universidad, claramente presionaremos para que el rector pida disculpas públicas, al igual que el director de Segic (de hecho, fue profesor mío), que es la institución a cargo de proveer los servicios informáticos a la Usach, se haga responsable de estos hechos. Faltan las disculpas tuyas por haber publicado un link que llevaba de alguna manera a la información, quizás no te hayas dado cuenta pero FW es uno de los medios más leídos en Internet en Chile y Latinoamérica (sí, te das cuenta y lo sabes), no pueden andar publicando este tipo de cosas así como así (antes lo habían hecho y también pidieron disculpas, Leo ya dio explicaciones, no he visto las tuyas).
@Leo-Prieto: gracias por sincerarte con nosotros, nunca dije que efectivamente adulteren información, pero los diarios lo hacen bastante, o bien omiten parte de la información lo que al lector lo saca de contexto y finalmente termina creyendo o asimilando mal la información, lo que sucedió esta vez: la mayoría pensó que habían sido irresponsables y publicaron una noticia sin contactarse con los responsables Gracias nuevamente por tomar cartas en el asunto.
Continúo leyendo Fayerwayer todos los días, es mi gran fuente de noticias y actualidad en TIC’s. ( de hecho, si no lo leo aquí, por la Universidad nunca me entero).
Saludos y gracias.
3Puerta dijo el 22-8-2008 a las 17:04:
@Mr Lays Te perdono jajajaj y de puro clemente que soy no dejaré caer la guillotina en tu cogote, pero para la otra avispense poh, porque que pasaría si un canal de TV avisara que una sucursal bancaria se quedó abierta, como caerían las demandas sobre ese canal de TV? Es lo que se conoce como la responsabilidad de los medios de comunicación, en fin ahora les toca recibir el jucio de los mismos lectores que hacen esta página tan visitada.
Ahora el que los perdonen los de la USACH es otro tema.
0Juan Pablo dijo el 22-8-2008 a las 17:05:
@asheck: terminé de escribir después de tu comentario. Gracias por reconocer el error. Espero el feedback de la Universidad.
Saludos.
3Gon dijo el 22-8-2008 a las 17:08:
de hecho, si no lo leo aquí, por la Universidad nunca me entero
No lo habría podido decir mejor…
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 17:08:
205@Juan Pablo: Ve mi post más arriba del tuyo. Un par de cosas… para que sepas, yo he dado clases voluntarias (sin cobrar) y charlas (sin cobrar) cuando vivia en Chile, a todas las Universidades que me invitaban… Siempre he apoyado a los estudiantes de todos los estratos sociales. Es más, aquí en Miami sigo con eso de ser voluntario… mientras otros cobran. Esto te lo cuento para que conozcas un poco más sobre mi y para que veas que NO me meto por la raja a los estudiantes…
Saludos y gracias!
1Eus Lillo dijo el 22-8-2008 a las 17:09:
No habia leido el post de Chips
Disculpen por el comentario repetido, este computador es extraño y lento
4Juan Pablo dijo el 22-8-2008 a las 17:16:
@aschek: de hecho lo leí, gracias por tu aclaración y por reconocer el error. Nunca he pensado que te metes en la raja a nadie, de hecho eres como un gurú de la informática para mí, desde la revista SXXI y de Mr.Chips en el Canal2 Rock&Pop, siempre he admirado tu amabilidad y buena disposición, sólo esperaba unas disculpas. Gracias nuevamente.
Alexander Schek (Mr.Chips) dijo el 22-8-2008 a las 17:17:
208@Juan Pablo Si nos interesa muchísimo lo que diga la Universidad y como veo estas super activo ahí, así que espero nos puedas informar cualquier comentario… ya sabes donde contactarnos directamente…
A todo esto, cuando yo decidí escribir sobre esto, ya sabía que varios me iban a crucificar por ello, es uno de esos temas que independiente quién lo escriba, te cagan igual… pero como yo soy el más viejo (en edad) del grupo, ya he recibido tantos latigazos, que al final me sacrifiqué por los demás !! LOL (saaaaaaaaaaaaaaale !)
leo prieto dijo el 22-8-2008 a las 17:19:
209Estimados, insisto, creo que muchos exageran. Esos datos han estado disponibles, a vista y paciencia de cualquier robot que busque cuentas de correo desde al menos Diciembre del 2006 según nuestros cálculos. Eso significa que los spammers ya tenían todos esos correos.
Cómo dice nuestro amigo Bruce Schneier:
“Una vez que los datos son públicos, no hay nada ni nadie que pueda revertirlo a su estado secreto inicial. En otras palabras, los datos ya son públicos y el daño ya está hecho.”
Nosotros publicamos la alerta y finalmente la falla de seguridad fue solucionada. Creo que nadie se ha fijado en ese pequeño detalle.
5errorista dijo el 22-8-2008 a las 17:21:
Puta que me río leyendo comentarios. Falta harto para que chile llegue a un nivel de madurez más alto en discusiones de internet.
Un error de la JUNAEB en Chile expone datos privados de becarios
Stasi: Nuevamente los datos de millones de chilenos disponibles en la red
Feliz Navidad: Diputados chilenos quieren desconectarte de internet
¿Twitterank es un servicio que roba tu clave de Twitter?
FW Exclusivo: Bruce Schneier nos habla sobre la filtración de datos privados en Chile
¿Es privada la información personal en Chile?
Gobierno comienza investigación de filtración de datos personales de 6 millones de chilenos
ALERTA: Se filtran datos personales de 6 millones de chilenos vía Internet
Prueba gratis Producto Protegido
Producto Protegido pretende parar pérdidas de productos personales
Proveedores de Internet empiezan a bloquear el puerto 25
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 … 4 5 6 [7] 8 9 10 Próximos 30 Comentarios →