Sábado, Agosto 23, 2014
               
CXO Community
Foro Level3: Software-Defined Everything

Todo lo que SUBE...

Blog - Seguridad | Informática

Usar puntuación: / 9
MaloBueno 
AddThis Social Bookmark Button

Martín BorioEl día Viernes 27 de Enero de este 2012 los servidores de la página de la tarjeta SUBE (sistema único de boleto electrónico) http://www.sube.gob.ar/  fueron accedidos ilegalmente por el supuesto colectivo informático denominado cómo "Anonymous" en lo que llamaron Operación Tango (OpTango) ,y fueron subidos a internet los itinerarios de mil usuarios de estas tarjetas de transporte público motivados por una protesta en contra de la monitorización de las personas a través de esta tarjeta que incluye: Número de tarjeta; Línea de colectivo utilizada; Hora; Día; Recarga de saldo y Número de interno.

Los números de tarjeta expuestos, fueron reales dado que comprobé por mi mismo introduciendo  un número de tarjeta al azar de la lista expuesta en la web de SUBE en el apartado “Mis viajes” dando como  resultado el de haber visualizado un itinerario de diez viajes realizados.

Ahora las preguntas que me formulo son las siguientes:

  1. ¿A cuántos itinerarios accedieron realmente?
  2. ¿Quiénes tienen acceso a esta información?
  3. ¿Por qué no estuvo protegida?
  4. ¿Quién o quiénes tienen esa información hoy?

Sólo tengo una afirmación que  me quedó muy clara:

Nuestra Información personal NO está a salvo y cada día hay que ser más conscientes  de cómo la administramos, a quién se la suministramos, con qué fin, cómo administramos nuestra autoprotección respecto a lo que dejamos que otros sepan de nosotros , muchísima gente no le cuenta a sus vecinos o amigos el día en que salen de vacaciones y dejan vacías sus casas, pero lo publican en una red social con frases como esta: "mañana a la playa!".

En internet pueden encontrarse cientos de fotos subidas por personas que posan contentos con su tarjeta SUBE y de más está decir que se pueden ver sus números!

Este fue un ataque muy serio que nos demuestra  lo expuesta que queda y con esto insisto – nuestra información personal y la fragilidad en materia de Seguridad en la que se encuentran las páginas gubernamentales que NO garantizan dicha protección  además de que se está incumpliendo la Ley de Protección de Datos Personales porque no se garantiza el derecho a la intimidad de las personas

Esa información e incluso el código fuente del generador de números para tarjetas SUBE ,hoy está expuesto , al alcance de cualquiera y con esto digo que la puerta para una futura generación de posibles tarjetas falsas fue abierta .

Para entender esto que digo, menciono lo siguiente:

En todo sistema en dónde se recolecte información  de cualquier  tipo  y que pueda accederse públicamente hay una base de datos detrás, tan sencillo como eso.

Toda base de datos se crea con el fin de almacenar información, en este caso, la de los usuarios de SUBE bajo  el pretexto de poder dar de baja en caso de robo (previa denuncia) y devolución del saldo cargado en el momento de la supuesta sustracción además de “enviarla” a tu domicilio o lugar de residencia .

Hoy en día y con la ayuda de los descuidos de la gente en las redes sociales, es muy fácil armar el perfil de una persona, averiguar su información, establecer su psicología, diagramar un recorrido y que esta sea objetivo de un ilícito, en pocas palabras hacer inteligencia con fuentes abiertas (OSINT).

No sabemos realmente cuáles fueron los alcances de este ataque de quiénes dicen ser supuestamente de Anonymous dado que no son un colectivo centralizado ,por lo que no lo sabremos ,dado que dentro de los servidores, si bien en la página de SUBE no figuran nombres, apellidos y DNI ,no sabemos si estos están o estaban almacenados dentro de una red ,tal vez en texto plano (se puede esperar cualquier cosa) para así poder asociar usuario y tarjeta con motivo de robo además de dar de alta el servicio , acaso lo que digo puede negarse con una demostración luego de lo sucedido? Qué garantía tenemos?

En el mercado negro, esa información tiene valor  y nosotros seguimos sin tomar conciencia  de que nuestra protección no tiene precio?

 

Información de número de tarjeta cotejada en ambas referencias:

 

SUBE Hacked

 

Fuentes:
- Código Fuente del generador de Números para tarjetas SUBE: http://pastebin.com/9xrYNZK1
- Exposición itinerarios de SUBE por  Anonymous (?) incluye comunicado http://pastehtml.com/view/bm5wlsazn.html
- Anonymous, comunicados internacionales: http://anonops.blogspot.com/
- Dirección Nacional de Protección  de Datos Personales (DNPDP)  Argentina: http://www.jus.gob.ar/datos-personales.aspx

Autor: Martín Alejandro Borio , Buenos Aires, 30 de Enero del 2012

 

 

El autor Martín Borio es miembro desde el Lunes, 24 Octubre 2011.

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.


Tecnología, Informática, Seguridad, Management y Negocios



El poder de las palabras NEGO2CIO Coherencia entre el hablar y la corporalidad NEGO2CIO
Psicología de los equipos competitivos Nego2CIO Psicología de la mentira NEGO2CIO

Ingresa con:


Google Buscador

FacebookLinkedinTwitterYoutubeSlideShareMySpace

Próximas Jornadas

Foro Level3: Software-Defined Everything

LEVEL3 WHITE PAPER

Level 3: Impact of Hi-Density Data Centers

Próximas Jornadas

Open Mobile Summit

Informe Destacado

Informe Destacado
¿Cuál es la posición y reacción de los líderes de TICs frente a los cambios que generan las nuevas tecnologías?
CSO Business Advisor ICIO2: I know it

Registrados

Hoy: 0 registrados
Esta semana: 2 registrados
Este mes: 8 registrados

Visitas

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterHoy1180
mod_vvisit_counterAyer8187
mod_vvisit_counterEsta semana39924
mod_vvisit_counterUltima semana59256
mod_vvisit_counterEste mes207190
mod_vvisit_counterUltimo mes333351
mod_vvisit_counterTodos los días16002934

Online 79
Hoy: Ago 23, 2014