Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Roban a Orange datos de 800.000 clientes en Francia

Josh
2

Orange sufrió el pasado 16 de enero una brecha de seguridad en el área de cliente de su página web francesa que permitió la fuga de datos de 800.000 clientes. La operadora cerró esta sección de su web al detectarlo, cuando se había extraído la información del 3% de sus clientes y no volvió a abrirla hasta el 23 de enero una vez rectificado el fallo.

La información incluye nombre, email, dirección postal y números de teléfono. La cuenta bancaria y contraseñas estaban ofuscadas.

zdnet.com/hackers-access-800000-orange-c…-7000025880/

BocaDePez
BocaDePez

La contraseña vale, pero... ¿Cómo "ofuscas" la cuenta bancaria? Es un dato que luego necesitarás en texto plano.

🗨️ 9
BocaDePez
BocaDePez

+1

BocaDePez
BocaDePez

No pienses que la base de datos del area de clientes es la misma que la de cobros...

🗨️ 1
skuts

Ofuscada o con un hash!

BocaDePez
BocaDePez

Busca Oracle TDE...

Los datos de este tipo no pueden estar en claro en la BD... se cifran y solo ciertos roles pueden descifrar esos campos...

🗨️ 4
BocaDePez
BocaDePez

Menuda seguridad! Esos solo sirve, según la propia web de oracle

while attacks from OS users attempting to read sensitive data from tablespace files and attacks from thieves attempting to read information from acquired disks or backups are denied access to the clear text data.

si el fallo estaba en la aplicación o han accedido con un rol que descrifa los datos no sirve de nada.

BocaDePez
BocaDePez

La contraseña se hashea(y se guarda el resultado), no confundas cifrar-descifrar(usando claves) con una función hash(función resumen de una sola dirección que dada una entrada produce siempre la misma salida, pero varias entradas distintas podrían dar el mismo resultado ). Por tanto, salvo mucha potra, nadie podrá usar tu login. Esto se hace lógicamente para que nadie sepa la contraseña original que estás usando, ni siquiera los administradores que ni les importa ni les interesa total ellos pueden modificar tus datos en cualquier momento en la base de datos si tienen privilegios. La contraseña personal no la debe saber nadie más que uno mismo y no se debe dar nunca....mismamente porque puedes buscar otras formas de dar acceso a una persona a un sistema sin tener que desvelar tu contraseña habitual

🗨️ 2
BocaDePez
BocaDePez

lo óptimo es añadir unos datos aleatorios antes de hashearla (salt) para evitar rainbow attacks.

BocaDePez
BocaDePez

La contraseña se hashea si, pero los datos bancarios se deben cifrar... que es de lo que se estaba hablando. Es más, en las aplicaciones a las que tienen acceso los operadores, los datos bancarios se enmascaran (normativas PCI SSC, Visa MCI, etc...) para que no puedan ver los datos, y solo ciertos roles tengan acceso a ellos (e.g. aplicación de cobros).

BocaDePez
BocaDePez

En la noticia en inglés no dice nada de las cuentas bancarias.

Data that was accessed includes customers' names, mailing addresses, email addresses, telephone numbers and customer account IDs, although the last set of data was "masked" or "truncated".

Nombre de cliente, dirección postal, dirección correo electrónico, número de teléfono y el identificador del cliente mientras el resto de datos no era legible y si no han tenido acceso al código probablemente no sepan entenderlo.