Escrito por Martín Borio Miércoles, 01 de Febrero de 2012 14:24
Blog - Seguridad | Informática
El día Viernes 27 de Enero de este 2012 los servidores de la página de la tarjeta SUBE (sistema único de boleto electrónico) http://www.sube.gob.ar/ fueron accedidos ilegalmente por el supuesto colectivo informático denominado cómo "Anonymous" en lo que llamaron Operación Tango (OpTango) ,y fueron subidos a internet los itinerarios de mil usuarios de estas tarjetas de transporte público motivados por una protesta en contra de la monitorización de las personas a través de esta tarjeta que incluye: Número de tarjeta; Línea de colectivo utilizada; Hora; Día; Recarga de saldo y Número de interno.
Los números de tarjeta expuestos, fueron reales dado que comprobé por mi mismo introduciendo un número de tarjeta al azar de la lista expuesta en la web de SUBE en el apartado “Mis viajes” dando como resultado el de haber visualizado un itinerario de diez viajes realizados.
Ahora las preguntas que me formulo son las siguientes:
- ¿A cuántos itinerarios accedieron realmente?
- ¿Quiénes tienen acceso a esta información?
- ¿Por qué no estuvo protegida?
- ¿Quién o quiénes tienen esa información hoy?
Sólo tengo una afirmación que me quedó muy clara:
Nuestra Información personal NO está a salvo y cada día hay que ser más conscientes de cómo la administramos, a quién se la suministramos, con qué fin, cómo administramos nuestra autoprotección respecto a lo que dejamos que otros sepan de nosotros , muchísima gente no le cuenta a sus vecinos o amigos el día en que salen de vacaciones y dejan vacías sus casas, pero lo publican en una red social con frases como esta: "mañana a la playa!".
En internet pueden encontrarse cientos de fotos subidas por personas que posan contentos con su tarjeta SUBE y de más está decir que se pueden ver sus números!
Este fue un ataque muy serio que nos demuestra lo expuesta que queda y con esto insisto – nuestra información personal y la fragilidad en materia de Seguridad en la que se encuentran las páginas gubernamentales que NO garantizan dicha protección además de que se está incumpliendo la Ley de Protección de Datos Personales porque no se garantiza el derecho a la intimidad de las personas
Esa información e incluso el código fuente del generador de números para tarjetas SUBE ,hoy está expuesto , al alcance de cualquiera y con esto digo que la puerta para una futura generación de posibles tarjetas falsas fue abierta .
Para entender esto que digo, menciono lo siguiente:
En todo sistema en dónde se recolecte información de cualquier tipo y que pueda accederse públicamente hay una base de datos detrás, tan sencillo como eso.
Toda base de datos se crea con el fin de almacenar información, en este caso, la de los usuarios de SUBE bajo el pretexto de poder dar de baja en caso de robo (previa denuncia) y devolución del saldo cargado en el momento de la supuesta sustracción además de “enviarla” a tu domicilio o lugar de residencia .
Hoy en día y con la ayuda de los descuidos de la gente en las redes sociales, es muy fácil armar el perfil de una persona, averiguar su información, establecer su psicología, diagramar un recorrido y que esta sea objetivo de un ilícito, en pocas palabras hacer inteligencia con fuentes abiertas (OSINT).
No sabemos realmente cuáles fueron los alcances de este ataque de quiénes dicen ser supuestamente de Anonymous dado que no son un colectivo centralizado ,por lo que no lo sabremos ,dado que dentro de los servidores, si bien en la página de SUBE no figuran nombres, apellidos y DNI ,no sabemos si estos están o estaban almacenados dentro de una red ,tal vez en texto plano (se puede esperar cualquier cosa) para así poder asociar usuario y tarjeta con motivo de robo además de dar de alta el servicio , acaso lo que digo puede negarse con una demostración luego de lo sucedido? Qué garantía tenemos?
En el mercado negro, esa información tiene valor y nosotros seguimos sin tomar conciencia de que nuestra protección no tiene precio?
Información de número de tarjeta cotejada en ambas referencias:
Fuentes:
- Código Fuente del generador de Números para tarjetas SUBE: http://pastebin.com/9xrYNZK1
- Exposición itinerarios de SUBE por Anonymous (?) incluye comunicado http://pastehtml.com/view/bm5wlsazn.html
- Anonymous, comunicados internacionales: http://anonops.blogspot.com/
- Dirección Nacional de Protección de Datos Personales (DNPDP) Argentina: http://www.jus.gob.ar/datos-personales.aspx
Autor: Martín Alejandro Borio , Buenos Aires, 30 de Enero del 2012
| < Prev | Próximo > |
|---|
Ingresa con:
Google Buscador
Próximas Jornadas
 |
Jornada ONLINE
Capacitación
- CXO: Computer Security Incident Response Team & Disaster Recovery Plan
- CXO: Training Program CISO
- CXO: ¿Cómo implementar un Programa de Seguridad de la Información?
- CXO: Espionaje Corporativo – ¿Imprevisibilidad o Inteligencia?
- CXO: El Factor Humano – Perfil Psicológico & Prevención de Fraude
- CXO: Normativa BCRA "A" 5374 ¿Cómo implementarla?
- Universidad Austral: MOIT - Especialización en Planificación y Gestión de las Tecnologías de la Información (MOIT)
Documentos
Identificación Social en la Era Digital (Eduardo Thill) (3)(Tecnologías - Infraestructura)
Enemigo Interno (3)(Management)
Casos Judiciales Mediáticos vinculados con Tecnología (10)(Metodologías y Legislación)
Tendencia de Seguridad IT (Check Point) (4)(Seguridad - Informática)
Herramientas Forense Informáticas de código abierto ¿Cómo ganar un juicio con inteligencia? (27)(Seguridad - Forense)
(*) Para poder realizar la descarga de los Documentos debe iniciar su sesión en el sitio.
Visitas
 | Hoy | 896 |
 | Ayer | 9448 |
 | Esta semana | 20999 |
 | Ultima semana | 67625 |
 | Este mes | 182337 |
 | Ultimo mes | 180787 |
 | Todos los días | 11258530 |
Hoy: Jun 19, 2013