(Por El Microsaurio) Otra incursión de hackers contra un website perteneciente a Apple Corp. Esta vez, como para divertirse, entraron en un servidor dedicado a estadísticas relacionadas con satisfacción de usuarios. Nada gravísimo, pero… si esta es la seguridad interna de empresas de ese tamaño, ¿qué le podés reclamar a la empleada de tu oficina que escribe su contraseña en un papelito y lo pega en el monitor? Vení que te cuento.
Hace unos días te conté que el grupo de hackers autodenominado Lulzsec, ese que entró en una banda de websites corporativos y oficiales (nombremos a Sony y el FBI, para no aburrir…) había decidido mandarse a guardar para que no los guarden en una celda. Sucedió que los muchachos pusieron de mal humor a los Señores de Traje y Anteojos Negros de Gran Bretaña y EE UU (MI5, Homeland, ¿te suena?)
Parece que algunos de sus integrantes se aburren. Tanto que apareció un nuevo grupo, llamado “AntiSec”, que sigue visitando servidores corporativos sin permiso. Sus integrantes, me contó un pajarito de acento alemán, son algunos ex-Lulzsec y otros de Anonymous. Yunta brava, diría un tanguero…
¿Y qué pasó con Apple?
El mes pasado hubo un par de irrupciones de hackers a websites de esta empresa, y lo que comentaron públicamente los atacantes (eran los de Lulzsec) fue que se llevaron un completo mapeo de la red interna, código fuente, bases de datos… pero como Apple les caía bien, no publicaban casi nada. Excepto morirse de risa de las medidas de seguridad implementadas para detectar intrusiones, claro.
El lunes pasado la cosa se puso un poquito más fea.
Los de AntiSec entraron en este website: “http://abs.apple.com”, que se dedica a encuestas y soporte técnico, y pasaron a este subdirectorio: “/ssurvey/survey?id=” donde encontraron esto: “db: mysql table: users”.
¡Bingo! Es la tabla “nombre de usuario/password” del servidor.
¿Querés verla? ¡Acá tá!
User | Password |
admin | 7AB8AAB1CB14C79 |
backup | NULL |
bnewcomb | NULL |
bulkmail | NULL |
leung | 5DDF97914AE903CD |
masuo | 5DDF97914AE903CD |
myapp | 2447D497B9A6A15F |
procsuper | 2447D497B9A6A15F |
rlinton | 2447D497B9A6A15F |
sharp | 2447D497B9A6A15F |
survey | 758A94318E1CCA45D |
web_csat | 758A94318E1CCA45D |
Esta es solo una parte, en total eran 27 pares usuario-contraseña.
Lo que es realmente vergonzoso, dado que es un website donde hay datos estadísticos de clientes (honestos, inocentes y cariñosos usuarios de Mac) es que los empleados usen el mismo password para diferentes cuentas, y tres de ellas… no tenían password ¿Cómo?????
Fijate ahí arriba. Hay dos, cuatro cuentas que tienen la misma tira de caracteres. Ese no es el verdadero password, claro, está transformado en una cadena cifrada. Igual serie de números significa igual contraseña. Y donde dice “null”, no había password.
Eso, en un website corporativo, de Tamaña Empresa.
No hay vuelta, no me queda lugar para retar a nadie. Dedíquense a escribir “12345678” como contraseña, total, para la bola que le da la gente a las advertencias…
Nota: claro que modifiqué las cadenas de los password de ahí arriba, no están completas. Aunque me llevó cinco minutos de gúgle encontrar los datos intactos (siguen publicados en la web después de media semana). Pero… ¿se habrán avergonzado lo suficiente, los empleados esos de Apple, como para cambiar las contraseñas luego de que las vieron… a ver… cien personas, contando a un servidor…?
No sé. A esta altura del partido, no sé. Vos dale tranquilo, poné nomás tu nombre y apellido en cuanta encuesta corporativa encuentres en la Web. Total, si es una empresa seria, tus datos deben estar seguros, ¿verdad?