Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Expuestos los datos de facturacion de los clientes de ya.com

Esta mañana me disponia a mirar mis facturas en mi proveedor de ADSL ya.com. El caso es tras fiajrme en la URL y me doy cuenta de que mi numero de factura esta en la misma. Como soy programador web y se como funcionan estas cosas -aunque cualquiera con un minimo de conocimientos de internet lo sabe- me dio por cambiar el numero de la factura de la URL. Casi me caigo de la silla al verlo. Ante mi tenia una factura de otra persona. Completa. Con su numero de cuenta corriente, Telefono, Direccion y NIF/CIF.

Me he quedado sorprendido por la falta de seguridad con la que se manejan nuestros datos en la red (bueno, eso ya lo sabia, pero no me esperaba algo asi de una empresa de telecomunicaciones). Para obtener esta factura y otras no hace falta hacer login en la red de ya.com, no hace falta ser un hacker ni tener muchos conocimientos: Lo unico que hace falta es cambiar los datos que aparecen en una URL.

Me parece uno de los fallos mas graves que he visto en cuanto a seguridad en la red y espero que con la publicacion de este mensaje, dicho fallo se solvente lo mas rapido posible.

PD:Dependiendo del momento (supongo que dependiendo del servidor al que uno se conecte) se podra ver la URL o no. Las facturas accesibles son todas las del mes de Septiembre. Para muestra de que lo que digo coloco aqui la factura numero 10000.

Cualquier usuario podía acceder introduciendo en su navegador la URL https://acceso.ya.com/adsl/soloclientes/MFCTBillByNumber?numero=D003%2FXXXXXX donde XXXXXX es el número de factura. A estas horas la URL parece estar desactivada. Actualización: kornerson aclara que previamente se avisó a ya.com y a la Agencia de Protección de Datos y que la URL no se ha publicado por voluntad suya. Actualización en libertaddigital.com ya.com dice que no tienen constancia del fallo. Aquí no ha pasado nada.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    BocaDePez BocaDePez
    0

    hola ami no me parese nada bueno ese operador ,cuando me ofrecieron la oferta me dijeron q venian tecnicos a conectar el

    hola ami no me parese nada bueno ese operador ,cuando me ofrecieron la oferta me dijeron q venian tecnicos a conectar el internet y resulta q ya com no tiene tecnico esto me parese una farsa mas y ademas me dijeron 9,50 y resulta q pago 11,90 entonces q esto no me dejan cambiarme hasta q no cumpla el contrato cuando me ofrecieron la oferta me dijeron q no habia contrato de permanencia x lo cual yo no estoy contenta con su servicio cuando se me averia algo llamo y nunca me solucionan mi problema yo tengo q pagar a otras personas q se dedican a esto para poder continuar con mi internet es haci amigos esto es pura mentira adios ...........

  • Cerrado

    el email recibido por parte de la agencia de proteccion de datos

    Este es el email de respuesta de la agencia de proteccion oficial de datos. Me parece tras su lectura que la necesidad de un DNI digital es mucha. Si esperase a haber hecho la denuncia `por correo a estas horas todos nuestros datos estarian corriendo por la red impunemente.
    lamentable

    -----cortar------

    De "Carlos Garrido" <[***]@agpd.es>
    Fecha Jueves, Septiembre 25, 2003 4:48 pm
    A <[***]@[***].net>
    Asunto contestacion a consulta

    En contestación al escrito enviado por Vd. a través de nuestra Web por el
    que le interesa conocer como pueden presentar una denuncia por un
    almacenamiento de información contrario a la Ley Orgánica 15/1999 de
    Protección de Datos de Carácter Personal se le indica que puede denunciar el
    caso expuesto ante esta Agencia.

    Las denuncias se deben de presentar por escrito y dirigirse a la Agencia de
    Protección de Datos en los términos que establece el artículo 70 de la Ley
    de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
    Administrativo Común, debiendo contener:

    a) Nombre y apellidos del interesado y, en su caso, de la persona que lo
    represente, así como la identificación del medio preferente o del lugar que
    se señale a efectos de notificaciones.

    b) Hechos, razones y petición en que se concrete, con toda claridad, la
    solicitud.

    c) Lugar y fecha.

    d) Firma del solicitante o acreditación de la autenticidad de su voluntad
    expresada por cualquier medio.

    e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso
    sería la Subdirección General de Inspección de Datos de esta Agencia).

    Igualmente deberá acompañar los documentos o cualquier otro tipo de prueba
    que pueda corroborar los hechos denunciados.

    Le saluda atentamente.

    Madrid a 25 de septiembre de 2003. Jefe de Área de Atención al Ciudadano

    Carlos Garrido Falla

    ----cortar-----

    uff... no se... tal vez este fin de semana si me pillan con ganas lo denuncio. Pero no se... lo bonito era ver el fallo en direccto y que se pudiesen tener todas las facturas a mano... lamentablemente esto ya no se puede hacer...

    bueno... pues este sera mi ultimo post sobre el tema.

    Un saludo.

    • Cerrado

      BocaDePez BocaDePez
      0

      El otro dia mande un mail a la agencia d proteccion d datos y…

      El otro dia mande un mail a la agencia d proteccion d datos y hoy me respondieron con ese mismo mail. Deberiamos hacer algo pero no se yo si pagaran por lo q hicieron... :(

      • Cerrado

        BocaDePez BocaDePez
        0

        Este no es el modo, simplemente con el chorreo de dinero que…

        Este no es el modo, simplemente con el chorreo de dinero que supone tener que atender a la APD es suficiente para hacer pupita....creerme, hasta no me estrañaría que visto lo visto, valiese con que la APD se presentase un día en su oficina, y ya está, si tienen colgado eso en público qué no tendrán encima de la mesa ?????

        • Cerrado

          En el foro de yacom siguen negando que este fallo de…

          En el foro de yacom siguen negando que este fallo de seguridad se produjo, cuando, incluso, se deshabilito la pagina que daba acceso a esta informacion.

  • Cerrado

    BocaDePez BocaDePez
    0

    Denunciarlo

    Bueno yo creo que hay que denuciarles a la Agencia de Protección de Datos.

    Si alguien tiene una captura de Pantalla de una factura que no es suya y que ponga en constancia la vulnerabilidad del servicio de facturas, la debe enviar a la agencia de Proteccion de Datos. Con un escrito de la denuncia. Tened en cuenta que cualquiera ha podido acceder a vuestor datos privados.

    Yo personalmente he llamado y me han dicho que no les puedo denuciar sino tengo la captura de pantalla. Ya que demomento nadie ha presentado ninguna denuncia y no tienen ninguna constancia de ello. Para mas información entar en https://www.agenciaprotecciondatos.org y entrando en el menu principal abajo teneis el telefono. Hay os informaran donde teneis que mandar la denuncia.

    Creo que todos agradeceriamos al que tiene la captura de pantalla que lo mande y nos informe a todos que lo ha mandado. Asi despues todos podriamos hacer una denuncia.

    • Cerrado

      BocaDePez BocaDePez
      0

      BocaDePez,soy un sufridor de Ya.com y estoy de acuerdo en lo…

      BocaDePez,soy un sufridor de Ya.com y estoy de acuerdo en lo que dices.¿habria alguna manera de ponerse en contacto con Konersson y que pasara esas capturas..?Seguramente que muchos usuarios se lo agradeceriamos.Es una pena que se pierda esta oportunidad para poner a esa pandilla de sinverguenzas en su verdadero sitio.

  • Cerrado

    Tengo una curiosidad que me está matando.

    ¿Alguien sabe por algun medio si la susodicha web del fallo la ha hecho ya.com o ha contratado su diseño a otra compañia?

    Puede parecer una tonteria mia, pero es muy importante si alguien me lo pudiese aclarar.

    Gracias.

  • Cerrado

    BocaDePez BocaDePez
    0

    El metodo

    (Los que no soporten faltas ortograficas, no leer). Una cosa que está clara es que la forma de llevar el tema por parte del que posteó el fallo es COMPLETAMENTE CORRECTA: aviso a YA.COM, contacto con APD y posteo del fallo y prueba feaciente de que es real (aun así se podrian haber ocultado más datos de la titular de la factura y seria igualmente convincente) lo que no me parece correcto es dar a conocer la manera de explotar el fallo por parte de BANDAANCHA, se nota que no son vuestros datos los que estan a la vista de mucha gente; una vez que el señor que posteó dió a conocer la noticia y de que esta era completamente real nos daba pie para poder quejarnos con pruebas mas que de sobra para ira YA.COM y acordarnos de toda su familia.. pero al poner el metodo de como explotar tal vulnerabilidad.. es pasarse, si sabes que YA.COM ha sido avisada, si sabes que los usuarios que lean BANDAANCHA se van a dar por enterados y se van a quejar ¿por qué poner ADEMAS el metodo para explotar dicho bug? definitivamente SOBRA :/ personalmente, soy "fiel" a BANDAANCHA desde hará algo más de año y pico y con este tropezón pierde bastante, esto es un Weblog no un sitio para postear xploits o metodos para aprovechar vulnerabilidades y no vale decir "es para informar a los usuarios" puesto que entonces BANDAANCHA deberia estar dando xploits y metodos de todos los fallos que salen diariamente "ya que es para informar a todos los usuarios posiblemente afectados" y no lo hace, no estoy recriminando nada a nadie, ni a Yosh, solo quiero dar un toque para la proxima ocasión en que aparezca un bug de este calado (me refiero a que afecte a un gran número de gente) se hagan las cosas con más cuidado. Un saludo a todos :)

  • Cerrado

    BocaDePez BocaDePez
    0

    Sobre cuentas bancarias

    Hola,

    Esto es una barbaridad de las mas grandes q se hayan cometido, porque con los datos bancarios completos y el nif o cif identificativo se pueden hacer bastantes barbaridades, no solo en internet sino en la propia banca tradicional. Posibles falsificaciones de cheques en la cuenta por ejemplo.

    Creo que os habeis equivocado al publicar la url, no me parece etico poner los medios de manipulacion de datos privados en manos de cualquier desaprensivo.

    Por ultimo, como todos sabeis, esto quedara en nada; aqui quedaremos 4 idiotas hablando sobre lo mal que esta la cosa, lo cara que es la dsl, el mal servicio que da y el impuesto revolucionario que le han metido a los cds, pero esto es España y se permiten esas tropelias mientras no les toque el bolsillo a los que manden, sean quienes sean.

    Un saludo.

    • Cerrado

      BocaDePez BocaDePez
      0

      Veamos, para que te falsifiquen un cheque, necesitan tb tu…

      Veamos, para que te falsifiquen un cheque, necesitan tb tu firma. Si lo hace, te quitan el dinero y tu reclamas, se comprobara QUE NO ES TU FIRMA. Por lo tanto, te devuelven el dinero con la fecha valor del 'adeudo'.

      Que te envian recibos o letras o lo que tu quieras, para algo tu eres el dueño de tu cuenta, y puedes dar orden PQ TE DA LA GANA de no pagar cualquier recibo o de devolverlo pq no estas conforme. No tienes que dar mas explicaciones. Es asi de facil. Tienes 1 mes para importes pequeños y 15 dias para los mayores. Y te llegan los recibos por correo a casa, para algo estan no?

      Lo que ocurre es que la gente en muy ignorante en estos temas, sobretodo con lo referente al dinero y los bancos.

      Saludos

  • Cerrado

    ME PARECE CORRECTA LA FORMA DE ACTUAR DE KORNERSON

    Acaso si no se hbiera publicado esta noticia ya.com habria anulado el servicio tan rapido? a saber la de gente q ya se dio cuenta de ese fallo y q lo ha aprovechao sin decir nada. Ahora ya.com tendra mas cuidado a la hora de elegir en manos de quien deja la seguridad de su servicio. Supongo q ahora no pondran trabas para la gente q se quiera dar de baja no? aqui lo q hay es un claro caso de incompetencia y no han cumplido ese contrato q t hacen aceptar con un monton de clausulas para q no puedas darte de baja enseguida. ahora deberian pagar por su error.

  • Cerrado

    12

    ¿Avisastes al Webmaster?

    No creo que los webmaster tenga conocimiento de este "bug" ya que me parece muy gordo para dejarlo y esperar a que nadie se de cuenta...

    No sé si lo habrás hecho pero desde el punto de vista ético tendrías que haber mandando un mail al webmaster informándole de la situación y si ves que no te hacían caso o que el problema persistia hubiera sido el momento de sacarlo a la luz...

    No soy nadie para dar lecciones de ética, pero a mi forma de ver, esta es la forma correcta de actuar.

    Saludos

    • Cerrado

      BocaDePez BocaDePez
      0

      que apenas sé pasar datos de una página a otra sé que eso no…

      que apenas sé pasar datos de una página a otra sé que eso no se debe hacer, y habla alguien que sólo tiene páginas personales. Sería mejor usar datos de un POST, no de la url.

      • Cerrado

        Hola no, no... por POST tampoco es seguro. Si bien es mas…

        Hola

        no, no... por POST tampoco es seguro. Si bien es mas coñazo montar una pagina que engañe al serividor, se puede montar de manera que los datos que queramos vayan por post. Se ha de hacer comprobando la sesion del usuario y que este sea el dueño de la factura que se vaya a mostrar. Un proceso muy normal en todo este tipo de aplicaciones.

    • Cerrado

      Desde luego si te refieres por el perjuicio que pueda suponer…

      Desde luego si te refieres por el perjuicio que pueda suponer para la empresa ha hecho muy bien. No hablamos de pequeñas empresas o paginas web "humildes". Estas telecos juegan y manipulan con nuestros datos, vendiendolos a terceros y traficando con ellos como si fueramos poco menos que ganado. Tienen medios para tener un buen elenco de informaticos que velen por la seguridad de los datos, asi que si quisieran los datos los tendrian bien seguros. Espero que la publicacion de este bug les perjudique y que suene mucho.

      Lo que ya no me parece tan bien es que mucha gente ha tenido acceso a los datos personales de todos los clientes y se deberia de haber protegido un poco la privacidado o haber publicado el bug de forma menos evidente, solo con capturas de pantalla, sin dar el "metodo".

      Inadmisible. Me preocuparia ser un cliente de ya.com. Pero vamos, las otras no le van a la zaga. Mi experiencia con Wanadoo fue cercana a los metodos de la mafia siciliana...

      Un saludo.

    • Cerrado

      BocaDePez BocaDePez
      0

      Gracias de parte de todos los pobres usuarios de ya.com... :(…

      Gracias de parte de todos los pobres usuarios de ya.com... :(

      Uno se queda más tranquilo cuando sabe q esa vulnerabilidad ya es pública y no esta solucionada (con todo lo q ello conlleva)

      Si cogen mi cuenta y me destripan luego iré a buscarte a ti xD

      • Cerrado

        No se si realmente en tu post achacas mas responsabilidad a…

        No se si realmente en tu post achacas mas responsabilidad a el que ha posteado la noticia que al que la tiene que es el webmaster que haya hecho una pagina con datos tan sensibles sin ninguna proteccion.

        En cualquier caso, la culpa la tienen los de Ya, lo de ocultar los fallos de seguridad se ha demostrado un monton de veces inutil, solo piensa cuantos abonados tiene Ya y esta es la primera noticia que leo del fallo, estoy seguro que no es la primera persona que lo vé, piensa cuantos de los que ya lo han encontrado pueden haber hecho uso del fallo ¿hubiese sido mejor callarse, o mandar un aviso a los de Ya para que como de costumbre con estos temas, si no les dejas con el culo al aire no hagan nada para remediarlo?, piensalo, probablemente no notifiquen estos hayazgos 1 de cada 20 personas, algunos de los que lo encuentren puede que simplemente pasen del tema, pero seguro que otros muchos se aprovechan del fallo.

        Un saludo.

        • Cerrado

          12
          Yo no he dicho en ningún momento que el autor de la noticia…

          Yo no he dicho en ningún momento que el autor de la noticia tenga alguna culpa, sólo he comentado, a mi forma de ver, como debería haber actuado. Evidentemente la culpa la tienen los webmasters pero eso sí, también tenemos que tener en cuenta que todos somos humanos y podemos tener algún error en un momento determinado...

          Ya comente antes que lo suyo hubiera sido avisar al webmaster y si no hubiera actuado con la suficiente rapidez o se hubiera ignorado el aviso hubiera sido el momento de haberlo hecho público...

          Pero en fin, ese es mi punto de vista y comprendo que la gente no este de acuerdo conmigo...

          • Cerrado

            Si, yo tambien estoy de acuerdo en que no se debia de haber…

            Si, yo tambien estoy de acuerdo en que no se debia de haber dado tantos pelos y detalles en el fallo, no dar la url o cambiarla mas.
            A lo que me referia, es que como el comentario al que contesté no sabia si realmente le achacaba toda la culpa a el que ha publicado el fallo o era en tono de broma.

            Un saludo.

              • Cerrado

                Si no es que me parezca criminal ni nada parecido el poner la…

                Si no es que me parezca criminal ni nada parecido el poner la url, a mi juicio hubiera sido mejor no poner la url, pero eso solo es una idea, al menos si es la primera vez que sale el tema de el fallo este, de todas formas, ya digo que es mi opinion, nada mas, sigo diciendo que no me parece justo transladar la responsabilidad de el fallo, ni siquiera una parte pequeña, a el autor de el articulo, o a ti por poner la url, el fallo es 100% de Ya, en cuanto a la manera de tratar los fallos que se pueden encontrar por estas webs de Dios :), cada uno puede tener sus ideas y todas son muy respetables.

                Un saludo.

            • Cerrado

              BocaDePez BocaDePez
              0
              Lo q ya tengo claro es q me despido de ya.com... Me estuvo…

              Lo q ya tengo claro es q me despido de ya.com...
              Me estuvo dando algunos problemas hace algun tiempo, pero ahora se habian solucionado.
              Esto ya es la gota q colma el vaso...
              Lo malo es q ya es día 19 y no aceptan bajas después del día 15, usea se q me tocará estar un mes más con ellos...

                • Cerrado

                  BocaDePez BocaDePez
                  0
                  preguntaselo a ellos a ver q te dicen... Tiene q ser antes…

                  preguntaselo a ellos a ver q te dicen...

                  Tiene q ser antes del día 15 de cada mes, y encima, tienes q llamar a un nº en el q te cobran para q te den otro nº (en este caso de fax) y enviarles un fax con tus datos y el por qué de tu baja.

                  En el por qué ya se q pondré... xDDD

                  • Cerrado

                    creo q si puedes darrte de baja antes lo q pasa es q no t…

                    creo q si puedes darrte de baja antes lo q pasa es q no t devulven el dinero, y ademas tiens q darte de baja hasta 8 dias antes de la fecha de factura para q no t cobren el mes siguiente.ademas creo q desde q t das de baja con una compañia hasta q esta suelta tu bucle de abonado para q lo pille otra puede llegar a pasar un mes. t lo digo porq en mi residencia queriamos dar de baja terra pa poner telefonica de 2mb y nos dijeron eso (porq aunk todo el mundo cree q terra y telefonica son la misma compañia parece q pa algunas "cosas" no lo son) y nos dijeron q podiamos llegar a estar un mes sin adsl. Al final como la administracion de la residencia si tenia telefonica (con 256) hicimos un cambio de numero de modo q ellos se quedaron con terra y nosotros al tener telefonica pudimos ampliar a 2mb. Asi q ten cuidado!!!!! y suerte

        • Cerrado

          BocaDePez BocaDePez
          6
          Yo no digo q se oculte, simplemente q no se muestre tan…

          Yo no digo q se oculte, simplemente q no se muestre tan explicitamente.

          Habrá gente q se ha dado cuenta, pero a partir de ahora hasta q se corrija el fallo, cuantos scriptkiddies lo explotarán???
          Si es un bug de este calibre (deja cuentas bancarias al descubierto) lo normal es primero contactar con el responsable de programa/servicio web para q le de solución y después actuar en consecuencia.

          • Cerrado

            BocaDePez BocaDePez
            6
            lo normal es tener cuentas separadas, y si trinkan la ke…

            lo normal es tener cuentas separadas, y si trinkan la ke salga ahi pues seria solo la cuenta de pagar x(el interné) e y(la comida del gato), no una importante....

            creo ke es mas chungo ke salgan los datos personales...

            de todas formas no valen kejas, el ke pone la noticia está set mode -p (periodista de investigacion), asi ke no tiene por ke informarlos, ke si no le pueden pisar la noticia o corregir el bug.... la culpa es de la television ke nos pone a todos en modo periodista y claro luego hacemos lo ke hacemos :PPPP

            ---burbujaaa---

      • Cerrado

        BocaDePez BocaDePez
        0

        Yo creo que deberias informar del bug al webmaster, Y NO…

        Yo creo que deberias informar del bug al webmaster, Y NO EXPONER EL DATO DE LAS FACTURAS A TODO EL MUNDO. Ya que.. si no fuese que me lo dijeses, yo no tendría ni idea de que ese bug existe.. y por lo tanto muchas personas podrán "aprovecharse"... aunque bueno..

      • Cerrado

        BocaDePez BocaDePez
        0

        Por cierto, se me olvidaba, borra el nº de factura... Q aunq…

        Por cierto, se me olvidaba, borra el nº de factura...

        Q aunq has borrado el nº de cuenta, si tenemos el nº de factura poco nos cuesta obtenerlo...

    • Cerrado

      BocaDePez BocaDePez
      0

      Pos eso, si un usuario esta buscando compañía para poner adsl…

      Pos eso, si un usuario esta buscando compañía para poner adsl y ve: En ya.com los datos de los usuarios han estado al descubierto; pues siempre influye algo, o debería hacerlo...

  • Cerrado

    Quizas la union?

    Hola a todos!

    Porque no os intentais coordinar con la Asociacion de Internautas para hacer las pertinentes reclamaciones? Podeis formular cualquier tipo de dudas sin que os cueste dinero y si os interesa poner la pertinente denuncia. Lo que esta claro es que la AI dara la vara a ya.com con una denuncia si os decantais por esa opcion y arreglen el problema mucho antes. La direccion es www.internautas.org

    Respecto a la noticia, es coorecto el procedimiento realizado por kornerson. Primero se envia correo a ya.com, luego a proteccion de datos y si no se obtiene respuesta pues se publica el error dando pruebas de ella como ha hecho. Si no aportara pruebas mucho de los que os quejais estariais diciendo que es un bulo.

    Cualquier persona podria habe entrado ya y estar aprovechandose de ello si no hubiese saltado la noticia, que ha obligado a ya.com a la suspension de este servicio. De otro modo, ese agujero seguiria ahi.

    El unico inconveniente en la noticia puede haber sido el link. Normalmente la gente solo lo probara para ver si es cierto, pero debemos recordar que no todos los usuarios son bienintencionados, aun asi la culpa no es de Josh sino de ya.com por dar un mal servicio. Si quereis ejemplos podeis encontrar equivalencias con lo que ocurre con Windows, hasta que no sale a la luz el agujero, no sacan el parche(y eso si hay suerte)

    Saludos

    • Cerrado

      BocaDePez BocaDePez
      0

      ... Algo me dice que no hay ningún dato tuyo expuesto gracias…

      ...

      Algo me dice que no hay ningún dato tuyo expuesto gracias a este fallo. Te felicito por ello, pero el procedimiento que tú consideras tan válido, a los que han sido o son clientes de ya.com no nos hace mucha gracia. Por decirlo de forma muy muuuy suave. Me gustaría veros a algunos de los que decís eso en un asunto similar. No os lo creéis ni vosotros. Fallo de ya.com patrocinado por bandaancha.

      Como que no cuela.

      • Cerrado

        pero prefieres que siguiera el bug y alguien cogiera tus…

        pero prefieres que siguiera el bug y alguien cogiera tus datos? claro como no te enteras no te puedes enfadar.

        Aqui la unica culpa es de ya.com que yo sepa bandaancha no diseño la web de ya.com

        Y si no saliera aqui saldria en alguna pagina lameruzca y entonces si que seria peor.

        Saludos

        • Cerrado

          BocaDePez BocaDePez
          0
          la noticia debería haberse llevado de otra forma, con unas…

          la noticia debería haberse llevado de otra forma, con unas cuantas capturas con las partes más comprometidas borradas hubiera tenido el mismo efecto. Fallo de ya.com por su pésima seguridad y fallo de bandaancha, no por publicar el fallo, si no por decir como aprovecharlo.

    • Cerrado

      BocaDePez BocaDePez
      0

      En la parte de Microsoft te equivocas. Microsoft da a conocer…

      En la parte de Microsoft te equivocas. Microsoft da a conocer su fallo de seguridad cuando YA HAY UN PARCHE.

      Que pasa, que a veces se infiltra informacion o se da a conocer informacion que aun no esta solucionada y nos encontramos con errores sin parches.

      Resumo: Hay un acuerdo tácito por el cual MS solo descubre su fallo cuando ya ha ideado el parche, por lo que el fallo se produjo un mes antes (lo que tardan en arreglar el fallo).

      Ojo.

      Por tanto, el que puso la URL tiene su parte de culpa.

      • Cerrado

        Todavia anda pululando un bug sin parche y hace ya tiempo que…

        Todavia anda pululando un bug sin parche y hace ya tiempo que salio. Ademas del RPC que no fue subsanado completamentes con el parche que saco.

        Saludos

  • Cerrado

    BocaDePez BocaDePez
    0

    ¿¿¿¿¿¿Y por qué cojones dais la URL?????

    ¿¿¿¿Pero sois tontos, lerdos, subnormales o todo junto????? Ponéis la URL en cuestión y ale, tan campantes. QUITAD ESA URL YA!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Si se descubre un fallo de ese tipo, se lo comunicas al web-master o a quien sea de ya.com por e-mail y TE CIERRAS LA PUÑETERA BOCA. No se hace publicidad y se pone el link para que todo el mundo compruebe que es cierto. Mal por parte de ya.com por ser tan chapuceros, pero increíblemente pésimo el hecho de que el que se ha dado cuenta lo haya publicado dando la URL en cuestión y su usage. Puedes anunciar el fallo una vez lo hayas comunicado y éste haya sido arreglado... NO ANTES. Un poco de sentido común no vendría mal.

    La virgen...

    • Cerrado

      6

      ¡¡¡SON DATOS BANCARIOS DE MILES DE PERSONAS!!!! ¿Es necesario…

      ¡¡¡SON DATOS BANCARIOS DE MILES DE PERSONAS!!!!

      ¿Es necesario ponerlos a disposicion de cualquiera sólo para comprobar la veracidad de la noticia? ¿Hay alguien que no se lo crea despues de ver la foto que nos manda kornerson?

      Joder, que tambien son mis datos!!!

      ¿¿En qué estaba pensando el editor??

      • Cerrado

        BocaDePez BocaDePez
        0

        Gracias al primer post y a que ha dado la posiblidad de…

        Gracias al primer post y a que ha dado la posiblidad de comprobarlo todos estamos viendo que es verdad y se podrá denunciar, de no ser así, Ya.com, lo taparía diciendo que es un bulo y los clientes estarían tan contentos pensando que sus datos están seguros, espero que le caiga una buena multa y se asegure de que no vuelva a pasar, porque si no le tocan el dinero, ¿creeis que harían algo por mejorar la seguridad de los datos de sus clientes?.

        • Cerrado

          BocaDePez BocaDePez
          -6
          No hace falta que lo comprueben todos los interneteros del…

          No hace falta que lo comprueben todos los interneteros del planeta para que sea denunciable. Con que el que descubrió el bug lo haga personalmente, o enviándoles el fallo a alguna asociación tipo AI o yo qué sé, vale. Es un fallo demasiado gordo. ¿Y si pongo yo un link DE TU BANCO por el cual se pueden manejar las cuentas de todos los clientes, qué me dices? El fallo de ya.com es muy gordo y BANDAANCHA NO TENÍA QUE HABER PUESTO EL LINK. Se hace un screenshot del tema, se informa de la vulnerabilidad de forma general y se acabó. ¿¿Están de vacaciones todos los editores o qué??

          • Cerrado

            A ver, creo que seguimos con la tactica del avestruz, el…

            A ver, creo que seguimos con la tactica del avestruz, el problema se acaba cuando está corregido, no antes, así que si se manda una carta y punto, el problema sigue sin estar resuelto, ¿o es que un email es el que arregla el fallo?, el fallo se arregla cuando:

            Se conoce.
            Se tiene intencion de solucionarlo.

            Si mandas solamente un correo, el fallo se conoce, pero nadie te asegura que haya intencion de solucionarlo, ¿porque?, pues sencillamente por que eso cuesta dinero, tiempo, y tener el servicio deshabilitado hasta que esté realmente corregido el fallo.

            Solo hay que pasarse por libertaddigital, para ver que segun los señores de Ya, no tienen conocimiento del fallo, cuanto creo que a estas alturas ya seamos unos miles los que hemos leido el tema, así que si incluso con algo tan manifiesto como esto esconden la cabeza bajo la tierra, cuando ha quedado demostrado que el fallo existe, ¿que pasaria si no se hubiese puesto la url?, pues que seguramente el fallo seguiria ahí hasta el proximo cambio de look o revision de la pagina.

            Un saludo.

            • Cerrado

              BocaDePez BocaDePez
              -6
              Me importa tres pimientos si los de ya.com se enteran antes o…

              Me importa tres pimientos si los de ya.com se enteran antes o después. El mal está hecho por parte de ya.com y por parte de BANDAANCHA por haber puesto la URL por si queda alguien que no lo supiera. Son datos personales, bancarios y demás. Ya.com la caga estrepitósamente con errores de programador novato y BANDAANCHA la termina de cagar dando a conocer la forma de ver todos los detalles.

              • Cerrado

                ¿No has pensado en registrar el X-Forwarded-For en vez del…

                ¿No has pensado en registrar el X-Forwarded-For en vez del X-Host en el caso de que la cabecera de redireccion no venga vacia?

                Ya sabes por donde voy.
                ----------------------------------------------------------------------------------
                Para el Bocadepez.

                Es curioso que pongas ya.com en minusculas continuamente y BANDAANCHA en mayusculas o mayusculas y negrita, si se lee por encima tu post, lo que se lee es lo siguiente:

                BANDAANCHA la termina de cagar

                y un poco mas arriba:

                BANDAANCHA NO TENÍA QUE HABER PUESTO EL LINK
                ¿¿Están de vacaciones todos los editores o qué??

                El resto ya no se, por que como eres un BOCADEPEZ de los que pasan por PROXY, no te puedo seguir la pista muy bien.

                Es curioso como cambia la lectura de un post si se sabe utilizar la tipografia un poco.

                Un saludo.

                • Cerrado

                  BocaDePez BocaDePez
                  0
                  Me importa más bien poco la forma y mucho el fondo, ya que…

                  Me importa más bien poco la forma y mucho el fondo, ya que mis datos están a la vista de cualquiera gracias a:

                  1. YA.COM por su gran pifia. Enhorabuena. (Con mayúsculas, eh, disculpen mi "discriminación" anterior, mea culpa.)

                  2. BANDAANCHA por publicar cómo usar la pifia para acceder a los datos personales de miles de clientes de YA.COM.

                  Enhorabuena a los premiados. Ah, y enhorabuena también a todos los que no son ni han sido clientes de YA.COM ya que sus datos no son de dominio público. Ah, y perdón por el hecho de que me haya molestado que mis datos estén a tu disposición gracias a este weblog. Pido mil perdones. No sé en qué estaba pensando. No debí poner letras en negrita, qué fallo :/

                  "El resto ya no se, por que como eres un BOCADEPEZ de los que pasan por PROXY, no te puedo seguir la pista muy bien."

                  Soy un usuario anónimo. ¿O eres de los que el anonimato sólo vale para unas cosas y para otras no?

                  Algunos, por vuestra gran coherencia, comprensión y sentido común, os merecéis dos tazas de LSSI. Pero tranquilos, si seguís así lo conseguiréis, ánimo.
                  "Es curioso como cambia la lectura de un post si se sabe utilizar la tipografia un poco."

                  Aplicando un poco el sentido común a la lectura de tu post, se puede llegar a la conclusión de que no son tus datos los que están a disposición del público (suavizando la expresión para no herir sensibilidades). Y si lo están, "es curioso" lo bien que te sienta. Me alegro por ti.

                  • Cerrado

                    A mi entender el caso sería este a lineas generales: Si hay…

                    A mi entender el caso sería este a lineas generales:

                    Si hay un fallo y no se publica los datos están accesibles por plazo indeterminado.
                    Si hay un fallo y sí se publica los datos están accesibles, presumiblemente por corto plazo
                    Si no hay fallo los datos no están accesibles por ningun periodo de tiempo.

                    De paso, ¿por qué no le hechas tambien parte de culpa a libertaddigital o a barrapunto o a todos los medios que publiquen una noticia relacionada con el tema?, seguro que el hecho de que libertaddigital y barrapunto hayan publicado un anuncio sobre el fallo, ha hecho la noticia muchisimo mas conocida y siguiendo tu razonamiento, te estarían causando daño al hacerlo aun más público.
                    ¿Por qué no los criticas, cuanto tiempo piensas que iba a permanecer oculta la manera de explotar el fallo si no se hubiese publicado la url con un fallo tan enooooorme como este?, una vez publicado que existia el fallo y que consistia en que se podian ver los datos de otros usuarios, con captura de pantalla incluida con todos los datos relevantes ocultos incluida la url que tanto te mortifica, es cuestion poquisimo tiempo hasta que alguien lo encuentre y lo haga publico, que es a fin de cuentas lo que ha ocurrido.

                    Supongo que si bandaancha hubiese publicado la noticia sin la url y barrapunto ademas de el enlace hubiese puesto la url, o alguno de sus usuarios en un post, ahora le estarias hechando la culpa a barrapunto o por haberla puesto, o por no haber borrado un hipotetico post con ella, o quizas si hubiese publicado la url diarioti poniendo la url mas un link a la noticia en barrapunto que a su vez tiene un link a esta noticia, entonces la culpa la tendria diarioti.
                    En definitiva, que lo que hay que hacer es matar el mensajero, no importa por cuantas manos pase la informacion, no importa cuanta gente ya estaba al tanto del fallo antes de salir aquí y lo hayan utilizado con fines poco eticos, no importa el derecho de los usuarios a saber lo que se hace con sus datos, lo unico que importa es que tu no te hubieses enterado de que tus datos estaban accesibles ¿me equivoco?.

                    En cuanto a lo de el anonimato, ¿he dicho yo que lo vea mal?, quizas es lo que te ha dado a entender la tipografia, simplemente he dicho que se hace dificil seguir la pista de los bocadepez por que lo unico que cambia es la ip, pero si son de un operador que usa proxy, entonces ya no se puede usar la ip como referencia para saber a quien se esta contestando, ya ves, esto de resaltar palabras es lo que tiene, que pone una cosa, pero se sobreentiende otra muy distinta ;).

                    un saludo.

                • Cerrado

                  BocaDePez BocaDePez
                  0
                  ¿La lógica empírica tan poco rebatible como que son mis datos…

                  ¿La lógica empírica tan poco rebatible como que son mis datos los que están a la vista de todos y no los tuyos?

                  Si mi problema te da igual, entonces mis "pimientos" y mis "cagadas", tres cuartos de lo mismo, faltaba más.

                  "razonamiento aristotélico"... muy buena.

                  • Cerrado

                    Un pequeño detalle, tus datos y los de todos, ya estaban a…

                    Un pequeño detalle, tus datos y los de todos, ya estaban a descubierto antes.

                    En cuanto a lo de el razonamiento artistotelico, si tu piensas que no publicar un fallo es lo mismo que si el fallo no existiese, ¿que te voy puedo explicar de razonamiento...?

                    Un saludo.

    • Cerrado

      BocaDePez BocaDePez
      0

      No se hace publicidad y se pone el link para que todo el…

      No se hace publicidad y se pone el link para que todo el mundo compruebe que es cierto.

      y sino pone el link como sabemos q es cierto

      (psss el banco q usas tiene un fallo deberias cambiar de banco podrian robarte el dinero :) ,no te muestro el ejemplo pq ya lo arreglaran :D y tu lo sabes, cuando lo arreglen ya te dare un link que no mostrara ningun fallo no te preocupes)

      TE CIERRAS LA PUÑETERA BOCA

      :O es verdad todos debemos defender a ya.com y ocultar sus fallos no vaya a perder clientes.

  • Cerrado

    sobre el post

    Hola

    Soy el que descubrio el "agujerito". Lo primero que he hecho al levantarme por la mañana ha sido mirar si "funcionaba". Y bueno,por lo menos la publicacion del agujero ha servido para algo.

    Pero hay una cosa que me ha parecido lamentable en todo esto: Ayer intente comunicarle el tema a la Agencia de Proteccion de datos. Les llame por telefono para preguntarles la direccion de email a la cual deberia de dirigirme para hacer la denuncia y me dijeron que solo se podia hacer por correo ordinario.... ¿CORREO ORDINARIO? Me parece que esta gente no se da cuenta el dia que vivimos. Un fallo de estos ha de ser solucionado al instante. Porque la facilidad con la que se pueden obtener los datos es rapidisima. Asi que tras valorar diferentes opciones, lo envie abandaancha.

    a veces sinceramente no entiendo para que pagamos los impuestos... por correo ordinario.... je je....que risa.

    • Cerrado

      BocaDePez BocaDePez
      6

      La APD es muy eficaz, ya que es una entidad recaudadora y…

      La APD es muy eficaz, ya que es una entidad recaudadora y cuantas más multas cobre mejor para ella :P Por ello, merece la pena que enviéis la carta, por supuesto con fotocopia DNI y acuse de recibo. Cualquier cliente de YA.com puede denunciar y conseguir que empapelen a su compañía... en serio.

      Por mi causa ya han empapelado a una y ya voy a por la segunda O:-)

    • Cerrado

      El caso es que estuve también intentando buscar el e-mail de…

      El caso es que estuve también intentando buscar el e-mail de la Agencia de protección de datos en su página (www.agenciaprotecciondatos.org) y no figura por ningún lado. Hay una sección en su web llamada Consultas creo, pero avisan de que el procedimiento es por correo ordinario :\. Ya me diréis en el año 2003, que una entidad de interés publico con presencia en internet no publique su dirección de e-mail me parece algo surrealista.

    • Cerrado

      BocaDePez BocaDePez
      0

      que disponiendo de Internet donde prácticamente la…

      que disponiendo de Internet donde prácticamente la comunicación es instantánea tarden tanto en solucionar un problema tan grave. Imagino que alguién estará de guardia y puede perfectamente avisar inmediatamente a un responsable y aunque no lo arreglen desactivar el servicio hasta solucionar las deficiencias.

      Ayer, me bastaron 10 segundos para probar el fallo de seguridad y visualizar 2 facturas con todos los datos de sus propietarios... no quiero ni pensar lo que alguien malintencionado pudo hacer en media hora simplemente numerando las url automáticamente con algún programa y descargando los .pdf resultantes con un simple gestor de descarga. Fijo que antes de que esta gente solucionara el problema todos esos datos estarían en los discos duros de algún indeseable. Si fuese usuario de Ya.com lo primero que haria es dar de baja la cuenta bancaria, mas que nada por si acaso, aunque lo de los datos personales ya no tiene arreglo posible.

      A ver que difusión en los medios tiene este asunto tan gordo... porque por menos cosas han montado más ruido.

      • Cerrado

        BocaDePez BocaDePez
        0

        no va a tener ninguna, este tipo de noticias no les interesa.…

        no va a tener ninguna, este tipo de noticias no les interesa. Vistes alguna noticia en antena 3 de cuando lo del uno e??

    • Cerrado

      BocaDePez BocaDePez
      0

      Sinceramente creo que se deberia informar a los medios de…

      Sinceramente creo que se deberia informar a los medios de comunicacion.(Radio,television y prensa) de este gravisimo incidente,para que salga a la luz y esta gente asuma sus responsabilidades y reciba su merecido porque esto es gravisimo y porque habra mucho usuario que ni se habra enterado y cuando le llegue algun rumor,ya.com con negarlo solucionado.

      Enhorabuena por el post y a Bandancha por la iniciativa de publicarlo.Quiza haya otras formas pero si no se hace esto como si jamas hubiera existido.Es mas os tacharian de mentirosos una vez lo hubieran solucionado.

      Repito me parece gravisimo digno de verdaderos irresponsables y esto debe hacerse publico en todos los ambitos posibles.

  • Cerrado

    BocaDePez BocaDePez
    0

    Y ahora qué medidas debemos tomar los clientes de YA.com

    Ahora poco me importa quejarme y denunciarlos, joder. Lo que me tiene en vilo es qué debo hacer ahora para no llegar un día al banco y ver que me falta MI DINERO, me cago en... Como eso suceda creo que mi conciencia no descansará hasta que mate a todos y cada uno de los miembros de esta puerca empresa, que por cierto no prestan buen servicio en absoluto. Bueno me calmo, es que solo de pensar en lo que han hecho... estoy que reviento. Y ya le vale al que ha puesto la url... ¿Y si desde qué has puesto la url hasta que lo han corregido alguien se ha hecho con mis datos con propósitos deshonestos? Y no me digas que ha sido por el bien común, porque si por el bien de todos unos cuantos somos robados... apaga y vámonos.

    Lo que realmente me interesa es saber qué se puede hacer con esos datos míos y mi número de cuenta (si sólo fuera spam y publicidad ni contestéis, lo que me interesa, hablando en plata, es si me pueden robar). Quien sepa algo sobre todo eso, por favor que conteste y que se sugieran qué medidas debemos tomar los desgraciados clientes de estos hijos de ... de YA. Una cosa más: cambiar de cuenta bancaria no es tarea sencilla cuando lo tienes TODO basado en una, y con todo me refiero a todo.

    Espero que los post siguientes vayan enfocados en esa dirección. Gracias

    • Cerrado

      Hola, No quiero ser alarmista, pero con tus datos personales…

      Hola,

      No quiero ser alarmista, pero con tus datos personales y bancarios (NIF, numeros de cuenta y demás), cualquiera puede hacer cierto tipo de compras en Internet, sobre todo en los sitios donde admitan el pago mediante el número de cuenta bancaria.

      Así que esperemos que esto no vaya a mayores, pero hay que proteger estos datos mejor, porque me dan escalofríos lo que unas malas personas con esos datos podrían hacer. Sobre todo a personas que vivimos con lo justo.

      Hombre, si quieres dormir tranquilo, habla en tu banco para que no te cojan pagos por Internet o algo así, no sé, no soy experto en la materia.

      Y en Ya.com dicen que no ha pasado nada..... y por ahí dicen que no debía haberse publicado el fallo........

  • Cerrado

    he recibido un email de ya.com y dice

    Estimado cliente:

    La cuenta de correo electrónico adsl@ya.com a la que ha escrito
    corresponde a un sistema automático de envío de correo, por lo que no
    obtendrá respuesta.

    Si es usted cliente de nuestros productos de acceso ADSL dispone de
    las secciones de respuestas a preguntas sobre correo
    electrónico,tiempos de instalación, módems y routers... en
    http://acceso.ya.com/adsl/ayuda También cuenta con completas guías
    para configurar su programa de correo electrónico o su router en
    http://acceso.ya.com/adsl/configuracion

    Puede aclarar sus dudas acerca de su conexión ADSL en nuestro foro de
    ADSL
    http://foros.inicio.tiendapc.com/jsp/JVforums.jsp/%(D)s=readforum%(F)s=12534%(O)s=3
    que incluye cuestiones ya resueltas.

    Si usted no ha encontrado las respuestas que buscaba puede obtener
    ayuda personalizada en el teléfono de Atención al Cliente 902 902 902.

    ============================

    Esa es la respuesta a mi email sobre el fallo de seguridad. Lo mejor de todo es que la direccion del foro esta mal :-| porque en lugar de $, son %

    en fin... ce la vie.

    • Cerrado

      BocaDePez BocaDePez
      0

      Te equivocas chiquitin, no es %, es $.…

      Te equivocas chiquitin, no es %, es $.

      http://foros.inicio.tiendapc.com/jsp/JVforums.jsp/$(D)s=readforum$(F)s=12534$(O)s=3

      con tu direccion no me entra, poniendo $ si.

  • Cerrado

    BocaDePez BocaDePez
    0

    OS CUENTO COMO ELIGEN AL WEBMASTER EN YA.COM??

    Hola, os cuento como va este tema xqe me toca muy cercano.

    Resulta qe a los 'programadores' los eligen del ciclo formativo, donde por supuesto se mete todo tipo de gente, simplemente xqe es la profesion de moda, y aunqe ya esta petada, siguen metiendose xqe parece qe da trabajo de sobra..

    el caso esqe al seleccionarlos eligen mas por el aspecto o la nota qe pueda sacar qe por los conocimientos reales qe pueda tener la persona.

    yo no soy una maqina, pero obviamente se programar y tengo experiencia previa en paginas web. El caso es qe al tener solo 20 años, no vestir de traje, y aun teniendo unas notas altas, me qede fuera de este curro. Resulta qe estuve a un paso de trabajar en ya.com haciendo este tipo de paginas.

    Asi qe si luego pasan este tipo de cosas, culpad mas a la compañia qe no sabe seleccionar el personal, qe a un pobre chico/chica qe ha programado solo lo qe le han mandado en clase y no sabe ni qe es un hash o el md5...

    en la empresa en la qe estoy ahora hay dias qe cuando veo a un conocido haciendo una web o un programa me da de todo, pensando en cuando en el ciclo ponia inpusbox en el visual basic, o no sabia ni definir las variables.

    igual los qe estais un poco fuera del negocio os parece algo exagerado, pero cualqiera qe sea del mundillo me dara la razon.

    un saludo, y ojala los departamentos de rrhh cambien algun dia!! :P

    • Cerrado

      BocaDePez BocaDePez
      0

      ¿La culpa es de ya.com? Si el programador es malo (que no lo…

      ¿La culpa es de ya.com?

      Si el programador es malo (que no lo sabemos, no sabemos sus condiciones), la culpa es de ya.com por contratarlo o por no despedirlo.

      Si el programador tiene que ir a "cojon sacao", y el programador ya se lo ha dicho (si ha tenido lo que hay que tener) la culpa es de ya.com por no contratar mas personal. Solo hay dos formas de programar: bien o rapido. Estoy seguro que la inmensa mayoria hemos hecho verdaderas mierdas por la prisas, quizas seguras, pero mierdas.

      Programar es dificil y si pagan una mierda (hoy en dia todos pagan una mierda), solo obtendran una mierda. Aunque se nos de bien programar, os puedo asegurar que es dificil y deben pagar, soy diplomado en empresariales, ingeniero tecnico en informatica, carpintero y ..... (por favor no escribais tonterias de pretencioso y tal, que no van por ahi los tiros), y os aseguro que una contabilidad, o un mueble gordo esta tirado, comparado con los 1.500 eventos y los 8.700 parametros de las preciosas ventanitas mas las xxxx mil funciones o clases de la libreria, modulo..., junto con sus xx millones de parametros, metodos, propiedades ...., de uno de los xxx lenguajes existentes hoy en dia.

      Si el programador aparte de todo esto tiene que hacer algun que otro arreglo extra en la empresa, la culpa es de ya.com, pq existe la especializacion. No os creais que por ser una empresa gorda van a tener un equipo cojonudo, lo mismo al que hizo esta parte lo contrataron por obra durante 3 meses. Hace un año en alguna empresa gorda, que yo me se, tenian a 5 o 6 personas, hoy hay 2 e intentan que hagan lo mismo, de verdad, que no son las cosas como se piensa a veces

      ¿y nosotros en general, tenemos culpa?

      La gente que acepta trabajos y las ordenes sin rechistar (la mayoria, ya lo se), no protestan, no denuncian, actualmente estoy en paro con cerca de 40 años (siempre he tenido lo que hay que tener, asi que he ahorrado, me lo veia venir) y solo pillo cosas importantes, por gente competente, que sabe lo que quiere o confia en mi para hacer las cosas bien, al final economicamente me sale igual, trabajo menos y los que es mucho mas importante, mejor. Si sois programadores os haceis carpintero, electricistas, mecanico o ..., en un año. Hacerlo, vereis cuando no tengan quien le solucionen los problemas, cuando tengan que volver a hacer las xxx mil facturas una por una, pq la base de datos no tira, jua, jua.

      Soy usuario de Ya.com, si no me ponen la url, hubiera pensado que era algo medianamente complicado, me parece muy bien como lo han hecho, si se ve mi factura es culpa de ya.com y lo se gracias al autor del articulo y al moderador. MUCHAS GRACIAS.

      Por ultimo, si tenemos lo que hay que tener, vamos a poner la denuncia, pero ya, unamosnos. Seguro que alguien sabe quien ha puesto una denuncia de este tipo o si no lo buscamos, venga, coño.

    • Cerrado

      BocaDePez BocaDePez
      0

      Lo realmente importante la persona y no los estudios, que más…

      Lo realmente importante la persona y no los estudios, que más da que en el ciclo entren todo tipo de personas simplemente pq este de moda????, a quien le guste y quien se preocupe por aprender más alla de lo que le enseñen no tendrán esos problemas. Yo lo estudio x la noche aún no lo he acabado llevo 2 años y me quedan 6 meses ( las practicas las tengo más que convalidadas), y te puedo asegurar que muchos que llevan muchisimos años trabajando en informatica me pregruntan cosas e incluso gente con la carrera, que se llimitan a saber simplemente lo justo. Igual puedo decirte que hay gente que ni tan siquiera ha estudiado ningún ciclo que nos podría dar clases sobre seguridad informatica. No es lo mismo cuando alguién hace algo para ganarse la vida (x mucha carrera que tenga o experiencia profesional) a cuando lo hace porque le gusta y se preocupa por saber cada uno de los aspectos que los rodea y estar actualizado.

      Con todo eso solo intento decir que como con todo, nunca hay que generalizar, mucha gente del ciclo sale sobradamente preparada como para desarrollar esa página y sin que tengan bug de seguridad.

      • Cerrado

        BocaDePez BocaDePez
        0

        Se me olvidaba, un ejemplo de lo que te digo, estoy harto de…

        Se me olvidaba, un ejemplo de lo que te digo, estoy harto de ir a arreglar ordenadores y que la gente me diga que lo han llevado hasta 5 veces al servicio tecnico (se supone que todos muy preparados y los únicos que te garantizan el arreglo) y no le han arreglado nada, y que yo tras una hora o dos se lo arregle sin problemas, y te aseguro que no es por echarme flores, yo en su momento tb padeci los terribles servicios técnicos.

    • Cerrado

      6

      Es que no solo habra una persona diseñando esa web,…

      Es que no solo habra una persona diseñando esa web, seguramente se trate de un equipo y ese equipo a su vez deberia estar supervisado por alguien que de el visto bueno al trabajo antes de publicarlo, desde mi punto de vista y si la persona que han contratado no tiene los suficientes conocimientos para realizar correctamente una pagina web el fallo no es de el si no de sus superiores, ya esta bien de machacar a los curritos y que sean siempre los que pagen los platos rotos. ¿Nunca os habeis preguntado porque cuando las cosas van mal en una empresa siempre se joden a los trabajadores y los "jefes" nunca o casi nunca se ven afectados? porque no ocurre en estos casos igual que en la politica, si el que manda no vale a la puta calle, pero no el inepto es el pobre chaval que estara seguramente con una beca y no aprendiendo precisamente.

      Salu2

    • Cerrado

      BocaDePez BocaDePez
      0

      zi no zabez programad, no zabez infodmatica :P:P:P:P:P:P…

      zi no zabez programad, no zabez infodmatica

      :P:P:P:P:P:P

      ---eric kartman---

    • Cerrado

      Hola no se si contigo habria o no habria sucedido, pero te…

      Hola

      no se si contigo habria o no habria sucedido, pero te doy la razon. Gran parte de estos problemas no es culpa del programador. Normalmente son juniors que los ponen ahi para currar por 4 duros. Asi es domo funcionan las grandes. Ademas el problema en si no es del programador. Ese programador tendra por encima algun Jefe de proyecto o a algun Analista que revise lo hecho. Es por eso que yo al programador le doy tan solo un 20-30% de responsabilidad. Lo lamentable es que seguramente al pobre programador le echaran toda la culpa y al responsable del mismo no le pasara nada.

      Ademas, me pregunto si no hacen tandas de pruebas a los productos que desarollan. Es lo normal en desarollos en donde hay informacion sensible -he trabajado en webs de banca y se lo que digo- Y otra cosa... este tipo de desarollos se hace de modo que la seguridad del sistema esta controlada por la arquitectura del sistema, o sea, que es una capa por encima de la programacion o que por lo menos el programador no tiene por que conocer. De esta manera el programador no tiene que estar continuamente preguntando si el usuario es "el" todo el tiempo.

      Creo que lo que les ha pasado -y aqui esto es una teoria mia- es que estaban probando algo nuevo. Las antiguas facturas de ya.com no tenian este formato. Es mas, en las antiguas facturas el Bug no existe y te manda a hacer login de nuevo. Pero dependiendo del serivodor web al que te conectes -deben de tener varios en una granja- aparecia la opcion de factura de septiembre -en otros solo hasta agosto (formato antiguo)-. Es precisamente en las facturas de nuevo formato donde existia el problema. No se... al igual quisieron probarlo en un server y se les paso quitarlo.

      El fallo por esto no creo que haya estado online mucho. Como mucho los dias de septiembre que llevamos. [aunque si, eso es muchisimo porque no tendria que haber estado ahi ni 20 minutos]

      • Cerrado

        BocaDePez BocaDePez
        0

        Tambien es punible la difusion de los metodos para acceder a…

        Tambien es punible la difusion de los metodos para acceder a datos privados... EL descubrimiento esta muy bien, pero creo que primero (si lo que querias era que se solucionara) hubiera sido contactar con el webmaster y hacerselo saber (todos cometemos errores). Seguramente lo hubieran solucionado con la misma celeridad. A lo mejor tus datos no estaban ahi recogidos, pero si los de mucha otra gente.... Te hubiera gustado que fuera al reves?

        • Cerrado

          Hola Solo para que quede claro: si lees el articulo que va…

          Hola

          Solo para que quede claro:

          si lees el articulo que va desde donde esta mi nick hasta donde dice "nota del redactor" o algo asi YO no publique la forma de acceder a la informacion. Eso esta en una nota al pie del articulo.Porque... si, entre otras cosas mis datos estan en esa base de datos.

          Aun asi, teniendo en cuenta que la forma de acceder a los datos NO es algo complejo, creo que no es punible la publicacion de la URL. Porque? A ver, tu vas por la calle y señalas a un sitio y dices "si entras por ahi das a la parte de atras del banco y esta lleno de billetes para que te los lleves". De quien es la culpa? De el que señalo? De el que entra ve los billetes y se tira las manos a la cabeza? de los clientes del banco? del banco?

          Otra cosa seria que te dijese: si pillas este pico y picas en esta pared das al banco. Ahi estan los billetes.

          Creo que es sustancialmente distinto.

          Pero aun asi, repito yo en ningun momento di la URL, aunque respeto que Bandaancha lo haya hecho.

          Un saludo.

          • Cerrado

            BocaDePez BocaDePez
            0
            Aun asi, estaremos de acuerdo a que se le hubiera ocurrido…

            Aun asi, estaremos de acuerdo a que se le hubiera ocurrido hacer el truquito a un porcentaje pequeñisimo de los usuarios... Esta claro que quien tenga conocimientos avanzados de programacion, sera mas propenso a probar lo que hacen los demas. Gracias a la noticia y a las pistas, ahora se le habra ocurrido a mucha mas gente.

          • Cerrado

            BocaDePez BocaDePez
            -6
            te crees un genio, verdad?... (es que "soy pogramadosh") te…

            te crees un genio, verdad?... (es que "soy pogramadosh")

            te presentas como un cliente de yacom que mientras consulta su factura se percata de la pifia... y vas y lo publicas (seguramente bajo los efectos del subidon de adrenalina que te produce tu alter ego de pitagorin) sin meditar las consecuencias de tu hallazgo, hasta hoy que asumes que TU TAMBIEN te has quedado con el culo al aire... (tus datos estan ahi, como los de Eva o los mios)

            puestos a hacer demos, porque no has puesto como ejemplo TU FACTURA !!!... asi todos conoceriamos quien eres y donde vives (para mandarte algun regalito, por supuesto comprado online con tu cta.cte)

            te dire cual seria mi sentencia: para ser salomonico, condenar a yacom a 30 kilos (ni 10, ni 50) de multa...

            y A TI (que te escondes en el anonimato cobarde) y AL MODERADOR (que es un incompetente/inconsciente) os presentaria una demanda por lo Penal pidiendo daños y perjuicios (haciendo responsable subsidiario al portal, y lo siento) por hacer publicos los datos de EVA y postear sin encriptar la URL

            PD.- juro que are lo posible por que se entere esta persona de la movida y espero que os empapelen (por moñas, que solo pensais en binario... 0 y 1)

            te escupo la mejor de mis sonrisas (sin emos, sin ASCI)

            EL ANGEL EXTERMINADOR

            • Cerrado

              BocaDePez BocaDePez
              0
              Creo que el moderador la ha cagado, no debería haber puesto…

              Creo que el moderador la ha cagado, no debería haber puesto la url. Si hubieran sido mis datos los que aparecen en portada tengan muy en cuenta que esto no iba a quedar así.

            • Cerrado

              BocaDePez BocaDePez
              0
              si tu mismo dices ke se esconde detras de la anonimicidad…

              si tu mismo dices ke se esconde detras de la anonimicidad como puedes decir lo de un minuto de gloria....... ke gloria si es anonimo?

              no tiene el mas minimo sentido, creo ke eres un poko malpensado y te falta algo de coherencia

            • Cerrado

              BocaDePez BocaDePez
              0
              asi ke el problema es el chaval, ke pone lo del agujero(mas…

              asi ke el problema es el chaval, ke pone lo del agujero(mas bien cagada total)... y al poko lo cierran........ mientras vete a saber desde cuando estaba eso abierto y cuantos lo han descubierto, porke fijo ke no es el primero....

              pero claro, eso supone un "gran problema", lo mejor hubiera sido ke se lo contara solo a ya.com y ke asi nadie se enterara, y los ke vieran vaciada su cuenta o les hubieran metido sablazos de flipar tampoko se enteraran de nada (porke evidentemente los de ya no iban a salir y decir "eh, ke sepais ke somos unos inutiles")

              buena solucion, si señor... ojos ke no ven corazon ke no siente no?

              ke metodo mas cojonudo....

              ---burbuja---

      • Cerrado

        BocaDePez BocaDePez
        0

        lo qe decia era la anecdota qe entre uno qe ya habia echo…

        lo qe decia era la anecdota qe entre uno qe ya habia echo webs y sabia como iba el tema, cogen a uno qe en su vida a programado nada fuera del ciclo.

        aparte, reconocer lo qe uno sabe no es ser pretencioso. Asi como digo qe no soy una puta maqina, tambien digo qe no soy tan gilipollas de poner ids de usuarios o cuentas a traves de campos de formularios (qe los hay qe piensan qe por ponerlos en un campo hidden ya esta todo resuelto).

        pero vamos, si consideras qe no tengo conocimientos, dimelo y qedamos un dia en el irc, hablamos un rato y vemos qien dice la verdad y qien no.

        aunqe supongo qe lo has puesto mas qe nada por picar, xqe esta claro qe mismamente la gente de banda ancha saben mil veces mejor hacer webs qe los qe han hecho esa basura en ya.com, y eso qe banda ancha no es una grande teleoperadora del pais...

  • Cerrado

    BocaDePez BocaDePez
    0

    demandar a Ya.com

    Yo he iniciado acciones legales contra esta empresa por considerar su servicion de post-venta una estafa.

    Recientemente he tenido que cambiar de número telefónico... los llamé *antes* de que sucediera para evitar cualquier problema... y despues de hacer lo que ellos dijeron -gastando pasta en el 902, y en *los* faxes- tres meses después me siguen cobrando dos tarifas planas y como si nada.

    Ahora estoy preparando la queja que voy a poner en consumo, por que lo peor es que de devolverme lo que me han cobrado, nada de nada.

    Utilizaré este fallo de seguridad para apoyar mi tesis... si alguien quisiera aportar su testimonio en caso de juicio que me escriba a:

    susinho (en) yahoo.com

  • Cerrado

    Aclaraciones

    Hola

    Como autor del post quisiera dejar claro algunos puntos.

    - Tras descubir el fallo de seguridad y pensando que era un echo punible por la ley, me puse en contacto con la agencia de proteccion de datos telefonicamente para pedirles el email para presentar la denuncia o alertarles. La señorita me dijo que solo podria hacerlo por correo electronico. Como ya he dicho anteriormente me parece lamentable que se me diese solo esta opcion. Aun asi, en la pagina de la agencia en su apartado de preguntas a la agencia les envie la denuncia correspondiente por si la leyesen y pudiesen actuar de oficio. No envie la denuncia por correo porque para entonces -contad una semana de tiempo- los datos si que estarian por todos lados.

    -Durante el dia estuve considerando como sacar la noticia a la luz. Obviamente no queria dar los datos concretos de como se podia acceder a esta informacion, pero si tenia que dar pruebas acerca de que esta informacion estaba disponible. Redacte el articulo y lo envie con 2 capturas en donde toda la informacion sensible estaba eliminada. En ningun momento envie la URL para que la informacion pudiese ser accesible. Tened en cuenta ademas que mi informacion tambien se encuentra entre la de los clientes de ya.com, con lo cual tambien ha sido posible acceder a ella.

    -Envie un email a BandaAncha con la URL a titulo informativo, para que se comprobase la veracidad de este fallo. En este sentido ellos tomaron la decision de publicarlo junto a la noticia cosa que han hecho bajo su responsabilidad, pero que no creo que sea erroneo. Señalar un fallo de este tipo ha sido mas bien una advertencia al publico/clientes de ya, mas que otra cosa. Los clientes de ya.com tienen derecho a saber que sus datos han sido vulnerados, y tened por seguro que si me ponia solo en contacto con ya.com ellos no iban a comunicarle a los clientes que dicho fallo habria sucedido.

    -Paralelamente al envio del articulo envie un correo electronico a el unico email que tengo que existe para ponerse en contacto con el servicio de atencion al cliente de ya.com y que tardan una eternidad en responder. No es mi culpa que su servicio sea asi. Me negue a hacerlo telefonicamente porque:

    1. es un 902 y no me apetece pagar por sus errores
    2. como le explico a un tecnico de ya.com que hay un fallo de seguridad y que me entienda
    3. La musica que ponen mientras esperas me pone de los nervios y ademas tengo el disco muy escuchado

    -El fallo no es un hack, no es un crack, ni nada de eso. Es sencillamente un fallo en la arquitectura que usan en ya.com. En ningun momento se validaba al usuario (ahora por lo menos comprueba que eres de ya.com).Tampoco se hacia un envio de las variables para la obtencion de las facturas con POST, sino con GET. Normalmente en aplicaciones asi, el programador no se tiene que encargar de la seguridad, puesto que el sistema en si es el encargado de ella. Creedme, el servidor de aplicaciones que tienen (Resin) y el servidor web (supongo que sera Weblogic) tiene suficientes recursos como para poder implementar esto en la capa del mismo servicio web.

    -El fallo ha sucedido debido a un nuevo tipo de facturas. Las que tienen como codigo D003/XXXXXX que ahora salen en formato PDF. Las anteriores se muestran mediante otro Servelet que solo retorna HTML. Esta funcionalidad es nueva. Y si no me equivoco existe solo desde este ultimo mes. Ignoro el dia. Ahora mismo se puede intentar usar de nuevo la URL pero se comprueba que el que lo hace sea cliente de ya.com y se coteja su login. Eso si, lo que no me gusta es que si al usuario no le corresponde la factura, se devuelva un PDF vacio. Esto significa que todavia se esta dejando ejecutar el servlet aunque no se tenga autorizacion. Supongo que todo esto por ahora es temporal y estaran trabajando para arreglarlo.

    - Ya por ultimo mencionar que no creo que el programador haya tenido la culpa. Creo que [y esto es una opinion] como siempre las cosas se han hecho rapido y mal. Soy programador y estoy acostumbrado a que las cosas se quieran para ayer. Mi respuesta es "lo quieres bien o lo quieres para mañana?".

    Bueno, espero que esto lo aclare todo.

    Me podeis encontrar en kornerson@hotmail.com por si quereis comentar algo a titulo personal (si es que no se ha llenado de SPAM la maldita cuenta de hotmail como siempre :-) )

    • Cerrado

      BocaDePez BocaDePez
      -6

      dejate de aclaraciones tardias... la solucion a tu problema…

      dejate de aclaraciones tardias...

      la solucion a tu problema es la "retroalimentacion" (meterte tus gracias por el culo) que es distinto al significado de la palabra feedback (que es lo que han hecho los que primero reaccionaron a tu desparrame: hay formas de hacer las cosas y de que se entere todo dios... pero sin dar pistas)

      tienes el perfil de los psicopatas, que van dejando huellas para que la poli les pare los pies...

      tuyo hasta los huesos,

      EL ANGEL EXTERMINADOR

      • Cerrado

        Hola Troll. Me encantan tus aportaciones constructivas a esta…

        Hola Troll.

        Me encantan tus aportaciones constructivas a esta conversacion. Eres el tipo de persona/posteador que fastidia los sitios como bandaancha ampliando la cantidad de señal/ruido.

        pd:tu vida ha de ser muy triste si encuentras placer en escribir estas cosas y en esperar que la gente se cabree.

        Por cierto... y esto va para todos... podriamos personarnos todos los usuarios en una demanda conjunta para pedir daños y perjuicios a ya.com?

        • Cerrado

          BocaDePez BocaDePez
          0
          Yo me apunto a denunciarlos cuando antes mejor y cuantos mas…

          Yo me apunto a denunciarlos cuando antes mejor y cuantos mas muchisimo mejor.

          Un Saludo

      • Cerrado

        BocaDePez BocaDePez
        6

        oye, y por ke no sakas un manual de estilo para poner…

        oye, y por ke no sakas un manual de estilo para poner noticias en internet?

        oye, si las cadenas de television tienen dueño kizas puedas pornerle un candado a la boka de la gente..... o kiza no :P

        ---burbujaaa---

  • Cerrado

    BocaDePez BocaDePez
    0

    aprovechar para darnos de baja

    Creo que esta es la nuestra, esto es un incumplimiento flagrante de las oblicaciones de Ya.com en el contrato, a lo mejor podemos aprovechar para darnos de baja sin pagar indemnización alguna.
    Alguién puede corroborar esto?

    • Cerrado

      BocaDePez BocaDePez
      0

      Quien tenga ganas de denunciarlos que lo diga y envimaos una…

      Quien tenga ganas de denunciarlos que lo diga y envimaos una denuncia a la delegacion de telecomunicaciones por incumplir el contrato aceptado por los clientes.

      Un Saludo

  • Cerrado

    -

    Noticia interesante... pero mal llevada

    Lo primero q no me parece correcto poner los apellidos de esa persona.

    Lo segundo q si dices el número de factura entonces da = que tapes la información que quieras en la foto.

    Lo tercero... esa nota del moderador sobra, por dios!!!!!!!!!

    Tras avisar al servicio técnico de Ya.com a la mayor urgencia, si quieres publicas la noticia sin tantos detalles aquí, pero lo primero es actuar.

    No se debería postear la URL ni esa foto. Si yo fuera moderador, me lo hubiera pensado mucho antes de publicar eso... Salu2.

    P.D.: más tacto señores, q son datos bancarios, teléfonos, dni, apellidos, direcciones...

    • Cerrado

      BocaDePez BocaDePez
      0

      Lo siento por la gente que se ha visto perjudicada, pero esta…

      Lo siento por la gente que se ha visto perjudicada, pero esta ha sido la mejor manera de llevar la noticia.

      Si pudiera me explicaba mejor, pero me juego el puesto de trabajo, si me entiendes, pero te puedo decir de primera mano que si este fallo no hubiera sido "comprobable", no hubieran echo nada hasta por la mañana como muy pronto.

      Por lo menos esto ha provocado que se esté buscando una solución levantando a la gente precisa de la cama y repito que hablo de primera mano.

      Por cierto, las primeras reacciones han sido patéticas.

      Ya postearé a toro pasado lo que está pasando.

      Ahora no puedo decir más.

      • Cerrado

        BocaDePez BocaDePez
        -6

        "Lo siento por la gente que se ha visto perjudicada, pero…

        "Lo siento por la gente que se ha visto perjudicada, pero esta ha sido la mejor manera de llevar la noticia."

        Y te quedas tan ancho... manda webos. Hay otras formas de solucionarlo menos dañinas. No os dais cuenta de que como lo habéis hecho es peor el remedio que la enfermedad. Si era un bug que conocían muy pocos y uno se da cuenta y lo denuncia a la AI o a quien sea, quedará en eso. Ahora no, AHORA PUEDE VERLO TODO EL MUNDO :D. Cuando he ido a comprobar si era cierto, pensando que ya lo habrían arreglado, pues NO. Todavía te podías bajar en pdf los datos de un particular. Sois $·$%&%. Algunos os merecéis doble ración de LSSI.

        Vamos que descubro un agujero en linux/windows por el que puedo entrar a todos los ordenadores del planeta (todos,eh) con permiso de admin y tal, pues voy, y lo primero que hago es PUBLICAR EN BANDAANCHA el método exacto bien detalladito, con screenshots y todo para que no haya confusión, y todos podáis comprobarlo en el acto. Ah, eso y escanear las 194.224.187.XXX direcciones para joderte a ti personalmente por haber puesto a disposición pública mis datos bancarios, y decir "lo siento pero...".

        Ha sido una cagada tremenda de ya.com, nos damos cuenta, eh, no hace falta que nos detalles cómo ruedan cabezas por eso.

        • Cerrado

          Aunque creo que si es la primera vez que se descubre un fallo…

          Aunque creo que si es la primera vez que se descubre un fallo en vez de dar el metodo para utilizarlo, se debe de publicar sin el metodo ni datos personales y avisar a el responsable de dicho fallo, creo que hay que dar un tiempo pequeño de plazo, y si no se arregla el tema, entonces dar pelos y señales para que el responsable se ponga las pilas.

          Lo que es seguro en la gran mayoria de los casos, es que si solo se avisa al responsable pero no se publica en algun sitio el fallo, eso normalmente no se arregla, aunque reciban 200 avisos, por eso digo lo de dar una oportunidad y a la segunda directamente publicar todo.

          Se que es así, por que en la epoca en que me daba por fisgar por ahí, he encontrado un monton de veces ordenadores de gestorias, hoteles, clinicas etc, (ni comparacion con la magnitud de el tema que nos ocupa) con datos de todos sus clientes/usuarios, metidos en Mis Documentos, en formato excel, word, access etc... por supuesto sin encriptar, pero el tema no acaba ahí, el tema está en que en muchisimos de esos ordenadores, ya habia avisos para los responsables de gente que habia entrado antes diciendo que el ordenador no era seguro y que debían contactar con un administrador de redes para que les asegurase el sistema, el "chiste" viene, cuando te encuentras en el escritorio de esos ordenadores en el raiz del disco duro o en Mis Documentos, no uno, si no varios mensajes hasta con meses de diferencia, y los archivos siguen sin encriptar, y el fallo de seguridad 3/4 de lo mismo, yo mismo he dejado mensajes similares en varios ordenadores y me consta que o bien los responsables no saben leer o claramente pasan del tema.

          Asi que creo que no es para poner el grito en el cielo por que hayan dado la url, antes de publicar este fallo no sabemos el tiempo que hace que existia o el numero de gente que lo haya podido utilizar.

          Un saludo.

  • Cerrado

    BocaDePez BocaDePez
    -6

    Fw: un minuto de gloria... y ahora que?

    hola genio... (es que "soy pogramadosh")

    te presentas como un cliente de yacom que mientras consulta su factura se percata de la pifia... y vas y lo publicas (seguramente bajo los efectos del subidon de adrenalina que te produce tu alter ego de pitagorin) sin meditar las consecuencias de tu hallazgo, hasta hoy que asumes que TU TAMBIEN te has quedado con el culo al aire... (tus datos estan ahi, como los de Eva o los mios)

    puestos a hacer demos, porque no has puesto como ejemplo TU FACTURA !!!... asi todos conoceriamos quien eres y donde vives (para mandarte algun regalito, por supuesto comprado online con tu cta.cte)

    te dire cual seria mi sentencia: para ser salomonico, condenar a yacom a 30 kilos (ni 10, ni 50) de multa...

    y A TI (que te escondes en el anonimato cobarde) y AL MODERADOR (que es un incompetente/inconsciente) os presentaria una demanda por lo Penal pidiendo daños y perjuicios (haciendo responsable subsidiario al portal, y lo siento) por hacer publicos los datos de EVA y postear sin encriptar la URL

    PD.- juro que are lo posible por que se entere esta persona de la movida y espero que os empapelen (por moñas, que solo pensais en binario... 0 y 1)

    te escupo la mejor de mis sonrisas (sin emos, sin ASCI)

    EL ANGEL EXTERMINADOR

    • Cerrado

      Hola Troll 1. Te rogaria mirases mi post con las aclaraciones…

      Hola Troll

      1. Te rogaria mirases mi post con las aclaraciones a la noticia
      2. Yo no me escondo en el anonimato. Mi nick esta ahi desde el principio. Tu en cambio eres un bocadepez. :-?
      3. No mates al mensajero. Solo he dicho lo que pasaba. No he dicho como conseguirlo. Lee bien los posts y no asignes cosas a quien no las ha dicho.
      4. Que tienes en contra de los programadores? No pienso en 0s y 1s. Pienso en lo bonito que es el amor y la primavera (ahora mismo me gustaria besarte y pasar el dia contigo dandote abrazitos).
      5. Eres poco constructivo.
      6. Creo que es mejor que todos sepamos que nuestros datos estaban asi a que el fallo permaneciese oculto durante mas tiempo. El fallo ha durado exactamente desde que se conocio unas 5 o 6 horas. Imagina si llamo por telefono o mando un email... o mejor si mando una carta a la APD.
      7. Cuando digo que soy programador no lo hago para presumir sino para que se vea que hablo con una base, que tengo conocimientos del entorno y que se que lo que he hecho no es porque sea un erudito en la materia ni nada de eso. Si lo has tomado como algo presuntuoso que sepas que creo qe has sido el unico. (te recomendaria que si te ha alterado mucho verlo fueses a un psicologo porque podria ser que tuvieses un complejo de inferioridad -lo digo de buen rollo-).
      8. mi email es kornerson@hotmail.com

      un saludo.

    • Cerrado

      BocaDePez BocaDePez
      0

      No crees que el hecho realmente grave es que ya.com tenga esa…

      No crees que el hecho realmente grave es que ya.com tenga esa vulnerabilidad tan descontrolada?Es algo que no se debe permitir a una compañia que maneja datos que deberian estar protegidos.Ya.com tendria ue dar la cara y se les tendria que meter un puro por negligentes.

      Si se han publicado datos aqui...Es (ademas de la intencion de la persona que lo ha hecho)....PORQUE YA.COM NO HA PROTEGIDO LOS DATOS DE SUS CLIENTES.

      yo si fuera cliente de ellos les denunciaba y me daba de baja.Pero que se han creido para tener una cagada tan grave y no pedir disculpas?

  • Cerrado

    BocaDePez BocaDePez
    0

    Creo que no es tan fácil...

    Esta mañana cuando he visto la noticia me he quedado de piedra. No me podía creer lo que estaba leyendo. Evidentemente el problema parece que ya está solucionado pero de todas formas me preocupa el que ya se haya explotado este bug por parte de algunos mal intencionados que pululan por ahí, y por eso me he estado informando sobre que podría suceder si a algún desaprensivo se le ocurre usar mi número de cuenta con mis datos para poder realizar algún pago o algún cargo a mi cuenta y por lo que me han comentado la cosa no es tan sencilla. Al parecer si se realiza un cargo a mi cuenta sin mi autorización firmada, el banco está obligado a devolverme el dinero que me ha retirado por el cargo por carecer de dicha autorización. Esto es lo que me han comentado aunque no estoy totalmente seguro, iré a consultarlo al banco para asegurarme totalmente. Otra cosa distinta es que alguien tenga mis datos personales y lo que pueda hacer con ellos, que ya no quiero ni pensarlo. Vamos, que me dan ganas de mandar todo a tomar por ..... y dedicarme a la cria del champiñón silvestre (una vez cambiado de banco, por supuesto).

  • Cerrado

    BocaDePez BocaDePez
    0

    Responsabilidad

    Si se publica un bug asi públicamente antes de avisar y que se solucione, sospecho que desde el punto de vista de Ya.com el que ha hecho el 'full disclosure' ese es responsable.

    Si me dejo la casa abierta y te das cuenta, si lo comentas en la radio de forma que todos los potenciales ladrones de la ciudad puedan entrar a robar, creeme que tienes una resposabilidad ante el robo.

    Pero no llego a asegurar que en este caso sea igual.

    • Cerrado

      BocaDePez BocaDePez
      0

      los de ya.com si qe estarian jodidos.. pero como nadie lo va…

      los de ya.com si qe estarian jodidos.. pero como nadie lo va a denunciar, pues se qedaran de rositas.

      es una lastima no hacer una demanda cojunta, publicarlo en prensa radio television.. algo qe haga qe este tipo de empresas empiecen a tomarselo mas en serio.

      xqe si internet no es segura no es culpa del medio, es culpa de la gente qe usa el medio.

      x otro lado, prefiero qe se sepa publicamente a qe solo lo sepan unos pocos, xqe estas igual de jodido, y asi al menos puedes reaccionar y avisar todos, qitar tus datos, hacer algo coño. de la otra forma toca fiarte de qe ya.com haga algo.

      x cierto, esta persona ha mandado la noticia sin avisar a ya.com o lo estais asumiendo?

  • Cerrado

    sobre lo de las facturas...

    Me he puesto en contacto con el email de servicio de atencion al cliente de ya.com... pero ya se sabe a la velocidad que lo leen. Pero creo que esto es mejor que se sepa, puesto que de otra manera no se aprende de los errores. Yo mismo soy programador web... y este tipo de cosas es de las primeras que se evita. No comprobar la sesion del usuario es lo minimo. Con una linea de codigo se hace....

    • Cerrado

      por dios que sencillo es que alguien se haga con los datos de…

      por dios que sencillo es que alguien se haga con los datos de todos los clientes de ya.com, muchas empresas comerciales ya estan descargando pa spamear y llamar a dar por culo y alguno pondra estos datos para domiciliarse pagos desde internet. . en fin simplemente de verguenza que esto no este bajo la capa de seguridad. no se pa que conio quieres servidor seguro si no le pides que compruebe la cookie de autentificacion por lo menos.

      • Cerrado

        BocaDePez BocaDePez
        0

        ahora recibiran publicidad hasta por telefono JUASSSSSSS....…

        ahora recibiran publicidad hasta por telefono JUASSSSSSS....

        riing riiing

        -spamero campero malevolo: oiga le llamaba para informarle de un nuevo producto ke ha salido al mercado.... es un tipo de plancha al vapor ke....

        -sufrido cliente de ya.com: (gritando) yo no plancho la ropa, me gusta arrugada!!!!!!!!!!!

        riing riing

        -spamero warrindongo: oiga estamos llamando a clientes de ya.com (este ya entra con cachondeo) para informarles de un nuevo producto ke acaba de salir al mercado..... el alargador de penes 2000!!!! es una cremita ke hace ke te crezca la poia y es completamente natural.....

        -sufrido cliente de ya.com dudando entre pegarse un tiro o comprar la cremita: oiga yo solo kiero saber si me va a crecer lo suficiente como para porder sakarla luego para golpear a unos ke yo me se con ella....

        ---burbujaaa--- y si, al final acaba comprando la cremita XDDDDDDD

  • Cerrado

    BocaDePez BocaDePez
    0

    Es mas grave de lo que creemos

    Primero esta empresa no se deberia considerar como empresa de telecomunicaciones...ya que es una mera revendedora del servicio que ofrece telefonica.(por mucha licencia que tenga para ello)

    Segundo siempre han sido unos chapuceros y nunca se han preocupado del cliente cuando tenia problemas que solia ser muy a menudo...pero por lo que veo tampoco se preocupan de él en algo tan basico como hacer cumplir la ley de proteccion de datos.

    Tercero.Considero que todos los usuarios a los que se ha desprotegido haciendo publicos sus datos(LA TOTALIDAD).Estan en su derecho de denunciarles y exigir daños y perjuicios.

    Cuarto.Considero oportuna una intervencion ejemplar del ministerio de ciencia y tecnologia a traves de la Secretaria de Estado de las Telecomunicaciones y para la sociedad de la informacion,con una investigacion a semejante negligencia,una multa ejemplarizante y la retirada de la licencia para revender este servicio por falta muy grave.

    Vaya cagada..por cierto esto no atenta contra la Lssi....

    Por ultimo aconsejar a todos los usuarios de semejante desmadre de empresa que se den de baja ipso-facto.

  • Cerrado

    BocaDePez BocaDePez
    0

    Muy bien para el articulista, que se jodan YA los enchufados.

    Despues de leer los mensajes criticando ese fallo pienso que el que ha escrito el artículo ha hecho muy bien en hacerlo antes público que avisar el webmaster, el porqué, pues muy simple, hay mucísima gente trabajando de webmaster que su nivel de seguridad es patético, eso se tiene que erradicar, la persona que ha hecho esa mierda de web tiene que pagar las consequencias y perder su trabajo, seguramente viendo lo que ha desarrollado será un puto enchufado. HAY MUCHA GENTE JOVEN CAPACITADA PARA TRABAJAR Y MUCHA GENTE ENCHUFADA, eso hay que cortarlo por lo sano.

    Un 10 para el articulista, que se jodan pero ja los putos inútiles enchufados que joden a los jóvenes.

    PD: he trabajdo de webmaster 9 meses y lo primero que he cuidado es la seguridad, y eso que eran webs de intranet, lo que ha hecho ese enurgumeno no tiene nombre, ese tio en su puta vida tendría que trabajar de webmaster otra vez.

    • Cerrado

      6

      ahora no puedo acceder ni a mis facturas, supongo que será…

      ahora no puedo acceder ni a mis facturas, supongo que será temporal hasta que arreglen el problema de verdad

  • Cerrado

    ¿Desde cuando existe este Bug?

    Es muy posible que esta no sea la primera persona que descubre el bug, ya que tal y como describe el artículo es de una simplicidad increible.

    ¿Cuantas cuentas corrientes de los usuarios de Ya.com deben estar corriendo ya por ahí?

    ¿Para qué te ponen en tu propia factura información de tú cuenta corriente?¿No saben que con los últimos dígitos ya te sirve para saber que cuenta es y no das toda la información?

    Comparto las opiniones de muchos otros usuarios que opinan que este asunto es vergonzoso.

  • Cerrado

    BocaDePez BocaDePez
    0

    Demosle armas al q no sabe..

    Lo primero, dar el metodo para obtener dichas facturas... d pena, vale q hayas dao con el fallo pero no des facilidades para q mas d uno pille datos d tal calibre. Se pone el screen y se le dice a ya.com como has obtenidos esos datos.

    Ahora lo he intentado hacer y una d dos, o ya esta solucionado o no se hacerlo, pero vamos he seguido todos los pasos (gracias otra vez...) Ojala sea lo primero, q estos penosos personajes hayan arreglado este bug. A ver si entra el PLC y me doy d baja d esta gran mierda.com