Comments on: ALERTA: Se filtran datos personales de los alumnos de la USACH [Actualizado]

By: Fuerza bruta | Shadow Security

Fuerza bruta | Shadow Security — Tue, 14 Jul 2009 14:44:20 +0000

[...] sitios web, como lo que le ocurrió a BetaZeta este fin de semana. /* Fayerwayer en todo caso ha sido bastante sarcástico cuando esto le pasa a otros, pero dejemos esa polémica hasta acá. [...]

By: juan

juan — Sat, 10 Jan 2009 03:40:07 +0000

… yo que encontre varios compañeros de curso por ahi…
si hasta me encontre hace un par de años.

By: que le importa

que le importa — Tue, 30 Sep 2008 21:13:53 +0000

nesesito la pagina web donde se filtraron esos datos xfa plis

By: Felipe

Felipe — Mon, 08 Sep 2008 15:41:17 +0000

Ufff, hace como 3 años, trabajando en la Universidad de Chile en aseguramiento de calidad, me metí al sitio de la usach, para contestar la encuesta de evaluación de profesores (requisito para poder matricularme en el semestre), y sin querer me di cuenta de que el sitio estaba desprotegido frente a ataques de inyección sql, envie 3 mails al webmaster, durante 1 mes, y nunca recibí respuesta, hace unos meses me meti para ver si habian arreglado algo y NO lo hicieron. Era de esperar que algo asi pudiese pasar con gente tan incompetente trabajando alli.

By: Kevin Rose, iTunes 8, nuevos iPods y otros trucos de Apple - FayerWayer

Kevin Rose, iTunes 8, nuevos iPods y otros trucos de Apple - FayerWayer — Mon, 08 Sep 2008 13:38:35 +0000

[...] decenas de correos a diario con sugerencias y algunos secretos. Tal como pasó con el caso de la USACH el mes pasado, donde un lector nos dio la alerta y quién sabe, el pudo haber tenido una mala onda [...]

By: Dr. Malo

Dr. Malo — Tue, 02 Sep 2008 08:18:51 +0000

ACTUALIZACIÓN:

Usach.cl hackeado realmente

By: Krabs

Krabs — Fri, 29 Aug 2008 23:48:10 +0000

Hay estan los “Grandes profesionales de la informática de Chile”.

Y después se quejan de porque Google no quiere instalar oficinas hay.

By: chocobo

chocobo — Thu, 28 Aug 2008 19:10:39 +0000

menos mal que estudo en la UTFSM!!

Santa Maria rulz!

By: z0n0

z0n0 — Thu, 28 Aug 2008 13:43:49 +0000

Bueno creo que es un caso mas de los miles que se puede encontrar en la actualidad, digo esto por que esta universidad no es la primera en la cual se puede obtener información como la que se expone ahora. LA busqueda es sencilla y puede arrojar resultados realmente preocupantes. Un ejemplo de ello es una Universidad con prestigio de ser la mejor en el ambito de la “Ingeniería” ( por razones obvias no diré su nombre) la cual mediante google es posible acceder a blogs de los profesores sin ingresar ningun nombre de usuario ni contraseña. Ver los alumnos inscritos en en el ramo, su Rut, nombres completos, notas de los alumnos, etc, etc, etc. Hasta un directorio completo de los anexos (externos e interno) y nombres completos con Rut de las personas que trabajan alli.

Como dije recien, no es un caso nuevo
ya lleva su tiempo este tan común problema de las Universidades.

Saludos!!

z0n0

By: perico las garrafas

perico las garrafas — Thu, 28 Aug 2008 03:17:48 +0000

JOJOJOJO que BKN…. voy a tratar de meterme a los datos de registro curricular…. a ver si me puedo aprobar todos los ramos xDDDDDD

By: alguien

alguien — Wed, 27 Aug 2008 14:33:16 +0000

ilusos, los datos de casi todos los chilenos, y obviamente de los alumnos de la usach ya estan al libre acceso de cualquier hacker o empresa privada de hace mucho tiempo, todo garacias a nuerto lindo gobierno y el trafico de informacion q no es penado en los tribunales, lo de la usach de todos modos es inaceptable pero lo de fayer-lun tambien es inaceptable, ya q ante ver la falta en vez de tratar de ayudar a reparala asen publico la situacion sin q antes sea solucionada, acepto q publiquen la notica pero despues de solucionado el tema.

@todos: la usach es lider de las ingenierias, para los idiotas q no lo aceptan, la usach tiene la mitad de recursos q la competencia directa, y aun asi es lider de las ingenierias(despues de la puc ya uch q nos sacan la chucha ai q admitirlo) la usach es la universida q ofrece mas becados y alumnos con credito en chile, sin la usach este pais no seria lo mismo

By: ONi

ONi — Wed, 27 Aug 2008 07:42:32 +0000

Me parece pésima la reacción de Mr. Chips en los comentarios wn, es como un cabro chico que cacho que se mandó una caga y se lo saca criticando e ironizando al resto.

By: Jose

Jose — Mon, 25 Aug 2008 20:26:33 +0000

Ajajajaj

a veces pasa que los mismos usuarios de los datos solicitan poder accesarlos de esa manera y el informatico a cargo para dejarlo contento y que pare de hinchar, prefiere dejar agujeros de seguridad, pensando: quien los va a pillar (la respuesta:google), eso pasa por no hacer las cosas bien, en fin quien deja ese tipo de informacion en un directorio web abierto? por ultimo que lo restrinjan a la intranet de la universidad, de hecho al segmento de red de los funcionarios que los usan

By: Bloggers

Bloggers — Mon, 25 Aug 2008 14:11:53 +0000

lo unico que se puede agregar… ojala echen al gerente de Segic pa que le suban un poco el pelo a esa empresa, realmente el error esta provocado por el ambiente informatico de ahi

By: JarDisk.com » Blog Archive » Recordando acontecimientos pasados

JarDisk.com » Blog Archive » Recordando acontecimientos pasados — Mon, 25 Aug 2008 08:28:36 +0000

[...] una filtración en desde la paina de la [...]

By: Luis de Temuco

Luis de Temuco — Mon, 25 Aug 2008 05:41:18 +0000

@Francisco Redard: primero, pido disculpas por lo del nombre. La mala costumbre de andar corrigiendo a plastas y poke-emo-lais en sitios como ElAntro donde ese término se usa mucho… No puedo creer que se me escapó. Mis públicas disculpas.

Sobre lo de los antivirus: por supuesto que no tengo un link. ¿Qué clase de conspiración sería si encontraras evidencia sustentable en Google? Simplemente hago lo que cualquier pensador lógico: asocia Doctrina de Monroe, falsa seguridad por medio de la eliminación de privacidad, y mercado capitalista basado en la venta de servicios parciales asociadosa bienes inferiores. Después de todo la “mano invisible” de Smith trabaja mejor cuando hay un “brazo invisible” que la mueve. En lenguaje lego, los gringos son y serán gringos. Y por cierto, si buscas información verás que algunas compañías AV trataron (y tratan) de contratar a los autores de Sasser, Melissa, etc…

En cuanto a lo demás, desgraciadamente pasamos del punto de fallo máximo hace rato, ahora solo se considera el resultado de las acciones. Se puede decir “se hizo mal” (los aserruchadores nunca faltan), pero lo que falló fue la aplicación de la parte utilitaria de la metodología (necesidad y logística), que usualmente cambia para mejor con cada error. Considerando que sólo se agregó un daño marginal, creo que es significativo que quede el precedente y que a futuro en casos similares FW haga las cosas en un orden más adecuado.

Lo de la cadena de “fail” fue algo sublime, tengo que decirlo. Mis saludos.

By: rodrigo pino

rodrigo pino — Mon, 25 Aug 2008 03:41:05 +0000

errar es humano…. un pastelazo se lo manda cualquiera. Pero creo que en los tiempos de internet , con hacks , troyanos y que se yo dando vuelta en la red , los responsables de la administración de la web en cuestión deverian ser un poco mas cautos en los permisos de acceso de cada directorio publicado en la web.

Yo me he mandado varios cagazos con chmod pero en sitios personales, cuando es “trabajo” reviso bien porciaca …ya que un error y quedas como chaleco de mono y como ésto mismo, los errores se difunden mas rapido que los logros.

Por lo menos ojalá sabiendo de este error de seguridad hayan hecho una auditoria como la gente de sus sitios, muchas universidades de la REUNA hasta hace un tiempo era un chiste sus servidores, entrabas muy facil ….en varios circulos se leía si quieres aprender prueba en las 146.83.xxx.xxx o las 152.54.xxx.xxx ya que era extremadamente sensillo entrar.Hablo de los buenos años de IRC ya que ahora la seguridad ha evolucionado “un poco” pero es un chiste que cuentas creadas hace mas de 5 años esten todavia activas y sirviendo archivos brujamente.

Bueno saludos y admins se sistemas que les sirva para mejorar sus sistemas y cada cierto tiempo tratense de ser chicos malos con sus propios servidores para ver cuan promiscuos están.

Saludos

By: Francisco A. Redard

Francisco A. Redard — Sun, 24 Aug 2008 14:11:14 +0000

@J. Orango: Hola. Sólo te puedo decir que estás apuntando el lado optimista y no-crítico de lo que dije. Si fuese así, nadie protegería datos personales como se hacía, al menos, hace algunos años. O me vas a decir que acaso la violencia familiar, los homicidios, violaciones, y cosas así, son cosas mitológicas? Sólo porque no ha ocurrido en tu “vecindad” (radio pequeño de redes de contactos), no implica que no ocurra. Ningún sacrificio vale la pena cuando siempre hay una forma de evitarlo. Por Dios, qué ética predicas tú? Además, no hablamos de censura en escencia, hablamos de saber cuándo es el momento de publicar la información correcto. El que pongas la información de esa gente al descubierto (donde yo recalco que no agrega valor al artículo en sí), no hará que tu articulo sea algo revelador ni magnificente. Entonces, hablamos de “medir”, no “censurar”.

@Luis: Hola. Primero, ese no es mi Apellido… Al parecer también tienes que darte un poco más de tiempo para escribir mejor. Segundo: partiendo desde tu post donde dices: “lo mismo que hacen las empresas antivirus en colusión con los creadores de virus”. Algún link que afirme eso? Porque no es algo menos importante. Ahora, si hablas de que hay empresas que ofrecen servicios de Antivirus que pagan a programadores para que encuentren formas de romper la seguridad que ofrecen sus productos, estamos hablando de cosas muy distintas donde no concordamos. Y lo escencial: sí, hablamos de metodología que entra en lo que es ética profesional que implica una línea editorial. No es el fin del mundo por este error, pero hay que hacerlo notar BIEN, porque a algunas personas (Mr. Potatoships) les cuesta entender algunas veces que se equivocaron. Algunos pueden señalarlo mejor que otros, pero bueno. Hay de todo en la viña del Señor, no?

Por otro lado, también concuerdo que no es problema (solamente) de quienes trabajan en el SEGIC, si no de quienes ponen en sus manos la información. Nadie le pasa una tetera con agua caliente a un niño de 3 años, verdad? Es mucho más difícil medir la capacidad de una persona en su puesto de trabajo, pero quienes estén encargados de eso, fallaron también. Y así, como dices Luis, se va agregando errores a la cadena de “fail” en este asunto.

Saludos!

By: Luis de Temuco

Luis de Temuco — Sun, 24 Aug 2008 05:17:48 +0000

Pues si hablamos de inseguridad de información, a grandes rasgos está dicho. Mala configuración, o falta de configuración, de al menos cuatro niveles de acceso a los datos del servidor, eso sin contar que esos datos nunca debieron estar en la interface pública de ese servidor ni haberse almacenado con ese formato para empezar. Lo mínimo que pides a un potencial empleado cuando lo vas a contratar para procesar datos que requieren privilegios de acceso no es sólo que que tenga un dominio básico e las tecnologías (htaccess, SQL, chmod, qué-se-yo) sino que también tenga experiencia en procedimientos estándar de protección de datos. O sea, al menos otros dos niveles más de error por el lado "humano" y unos cuantos más por le lado de "recursos humanos", empezando por las condiciones de contratación. No hablemos de los posibles sueldos que reciben los empelados del SEGIC, que no les alcanzan para, en el caso más simple, agregar 15 caracteres a un archivo de texto. Y de ahí para adelante ya me empieza a dar pena hablar. Estamos hablando de un accidente que fue ocasionado por una cadena d eal menos 10 errores, cada uno de ellos en un core competence específico que debía ser atendido. O sea, un orden de magnitud más que cualquier condoro doméstico.

By: J

Sun, 24 Aug 2008 03:50:55 +0000

Lo más estúpido sería que el público discutiera por tal o cual forma de manifestarse FW…..

y lo otro estúpido sería que le echen mierda a la USACH, siendo que en estos tiempos todos esos servicios se los dejan a empresas externas…

soy de otra u, pero se que USACH es buena y no tiene nada q ver su prestigio con q le haya pasado esto, a cualquiera le puede tocar.

Y pa finalizar, las discusiones debieran ser del tipo inseguridad de información, tal como lo hace el autor del blog que escribe el artículo original (no los de FW), no así discusiones de cómo actuó FW o el prestigio de la universidad.

By: dario lopez

dario lopez — Sun, 24 Aug 2008 00:55:05 +0000

soy de la usach, realmente me averguenza esta situacion.

By: Javi

Javi — Sat, 23 Aug 2008 23:15:20 +0000

Lo penca es que los que salen de la usach son buenos [no como dice Limon], pero los que trabajan son taan poco eficientes… No lo digo por todos, pero son bastantes los casos…

Igual soy feliz siendo de la Usach… aunque deben haber salido mis datos xD

By: Luis de Temuco

Luis de Temuco — Sat, 23 Aug 2008 18:43:19 +0000

@Francisco A. Retard: No, no estoy dispuesto a poner datos d egente como tu dics. Por favor tómate el tiempo de leer con calma y con un diccionario en la mano mi post si te hace falta. Lo que he indicado es que había mejores opciones, pero en nuestra realidad, donde los problemas sólo se parchan (no solucionan) cuando ya hay daño (no cuando hay conocimiento), la decisión tomada fue éticamente, no utilitariamente, la correcta. En casos como éste hay mucho que sopesar para cualquier medio periodístico serio, en particular con una línea editorial informática: el "posible" daño a personas que ya han sido "dañadas",la posible o segura distención entre la autoridad competente y la autoridad normada para efectuar las correcciones, el interés del público general y el significado de no haber publicado la noticia. Coincido en J. Orango en que ahora la gente se anda sintiendo perseguida por cualquier cosa, cuando los perfiles publicados ya eran públicos y han estado disponibles quién sabe cuánto tiempo (y no solo de esa fuente). Y coincido contigo (Francisco) en que la metodología no fue la correcta, solo el proceso lo fue. Como siempre sucede cuando hay conflictos de información, existen demasiadas rutas a seguir, cada una con ventajas y riesgos inherentes a la información. Se tomó una alternativa que busca proteger contra casos futuros, a costa de un daño extra marginal al aplicado en este caso, y se hizo de manera éticamente correcta. Estando en el país que estamos, teniendo la tecnología y los empleados del SEGIC que tenemos, no podría esperar nada mejor...

By: J. Orango

J. Orango — Sat, 23 Aug 2008 17:05:22 +0000

@Francisco A. Redard
Psicópata? Curioso que afecte de esa manera a algunas personas el mentado artículo y vean fantasmas donde no los hay. Lo cierto es que no veo para nada una situación apocalíptica dar a conocer datos que en general son ya de conocimiento público. Desde el tiempo de la dictadura que no veía a personas “perseguidas” por cualquier cosa que modifique el status quo del día a día. En resúmen: las noticias hay que darlas a conocer tal cual son conocidas de primera fuente y evitar ante todo filtrar o censurar el contenido de éstas aunque por ello un grupo minoritario se vea afectado directamente y no sólo por el hecho de conocer información que desconocía sino por el impacto que significa reconocer la realidad.

By: FitoNitroso

FitoNitroso — Sat, 23 Aug 2008 16:30:55 +0000

@knox: Yo tambien conozco a la gente del Segic.. y de muchas maniobras brujas que ahí se hicieron hace un lustro atras.

By: FitoNitroso

FitoNitroso — Sat, 23 Aug 2008 16:29:29 +0000

aqui la culpa tiene un sólo nombre

SEGIC!

By: knox

knox — Sat, 23 Aug 2008 16:16:00 +0000

Esto es un error grave. Conozco a la gente de SEGIC y no son simios conectados a los servers, son gorditos nerds y computines como el 80% de la gente que entra a este sitio. La cagaron, pero no creo que despidan a nadie por esto… en serio.

Corrijan el nombre del Editor del portal se llama Denik Carrasco, no Denisse (que poco rigurosos con la información).

Me sorprendió la primera respuesta de Mr Chips, estaba como poseído por satán, pero veo que recapacitó y volvió a ser el buen Mr Chips.

Lo último, toda esta situación es muy desagradable, y me parece súper penca que todos los tipos frustrados porque no les dio el puntaje para entrar a la USACH se agarren de esto para tirarle bronca a una de las buenas Universidades del país. Universidad a la que, por cierto, tienen acceso los mejores alumnos de los quintiles más pobres de la población.

By: Bloggers

Bloggers — Sat, 23 Aug 2008 15:48:14 +0000

Echen a Chips de aca pà que el sitio vuelva a ser genial

By: Francisco A. Redard

Francisco A. Redard — Sat, 23 Aug 2008 15:42:45 +0000

O sea, que ustedes dos están dispuestos a PONER datos de gente que no tiene culpa de tamaño error ante cualquier persona (que les recuerdo, incluye tanto personas que son capaces no mirar los datos y sólo la noticia, como gente que mira, usa y distribuye dicha información). A poner información que está MUCHO MÁS EXPUESTA QUE ANTES? Por qué? Porque se expuso ante la comunidad que, en muchos casos, CONOCE a esa gente y la tiene al alcance (para bien o para mal). En estos casos no puedes pensar “ah, pero si nadie va a usar esos datos para nada malo”.

Yo concuerdo con la teoría de don Schneier, porque es totalmente cierto el hecho que una vez que están en dominio público, hay un 99.9% (quizás menos, no sé) de probabilidad que alguien lo sepa de inmediato, PERO eso no excusa la vía correcta de hacer las cosas. Luis tiene razón en el cauce de los eventos, y si te fijas, lo tuyo es un poco más restrictivo. Con el sólo hecho de no poner alguna forma de acceder a ellos.

Siendo bien rebuscado (pero no menos probable, lamentablemente), no se sabe qué psicópata lee esa info. Yo diría que las mujeres que están expuestas ahí están igual o más que las de Failbook.

Yo no defiendo bajo ninguna luz el cauce que tomaron en FW, porque la noticia se pudo haber publicado de todas formas, pero insisto, la METODOLOGÍA seguida no fue la correcta a mi gusto, tal como han señalado muchas personas. Hay que ser periodistas, no peridiotas.

Saludos!

By: J. Orango

J. Orango — Sat, 23 Aug 2008 09:02:56 +0000

Coincido plenamente con Luis de Temuco. Artículos como éste son los que necesitamos a diario. El inserto de L. Prieto debió ir al pié del artículo. Más parece censura que actualización. En fin, creo que necesitamos personas como Alex para que la comunicación realmente sea efectiva y no sujeta al habitual doble estandar y censura a la que muchos parecen ya estar adoptando.
Saludos.