EDICIóN GENERAL
400 meneos
2213 clics
Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto

Agujero en la web de entradas a la Alhambra: los datos de 4,5 M de visitantes, al descubierto

Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, 'e-mail', dirección postal… Son los datos privados de visitantes y agencias de viaje que han estado totalmente desprotegidos durante dos años en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía.

| etiquetas: alhambra , entradas , datos , visitantes , descubierto , web
#3 diselo a la madre de Boabdil El Chico, cuando perdió Granada, que para algo es su cita.
#4 Tu comentario es racista y antimulticultural
#4 ¿Qué pasa, que las mujeres no pueden ser machistas?

Y además, no, no lo dijo ella, como suele suceder con este tipo de frases. Por ahí dicen que se la inventó el padre Juan Velázquez de Echeverría en el siglo XVIII, con el objetivo de desacreditar la figura de Boabdil, en esta obra:

www.bibliotecavirtualdeandalucia.es/catalogo/es/consulta/registro.cmd?

Y por cierto, de la frasecita inventada hace ya más de dos siglos, igual está un poco caduca a estas alturas... :-P
#21 Ni a Newton le cayó una manzana, pero el personaje histórico cuadra con esa frase, y si bien aunque exista la posibilidad de que sea falsa, podría haberla dicho perfectamente. Y decir que algo que pertenece a nuestra cultura es caduco, solo denota desprecio o falta de madurez.
#33 Claro, y una ficción que a ti te cuadra porque te conviene no bajarte de la burra es históricamente válida porque... a ti te lo parece. Y a partir de aquí entramos en bucle y el rigor histórico salta por la ventana porque a tu orgullo herido le viene mal reconocer que has metido la pata hasta el corvejón por hacer la gracia, y que ni puñetera de historia, pero por hablar y encadenar tonterías que no quede... xD

Y luego ya lo de seguir retorciendo la argumentación y el lenguaje para embestir y que no se note la ignorancia supina es más de lo mismo. Piensa el ladrón que todos cojean del mismo inmaduro pie y va a ser que no.

( xD )
Contratarían al becario de turno y el resto se lo llevaría calentito, ahora a llorar como mujer lo que no han sabido defender como hombres.
#1 Ese comentario es machista opresor y tal.
#1 Como se hace siempre, no veo la novedad por ese lado.
#1 Yo conocí a una becaria que por 1.200 € al mes y durante tres meses (haciendo muchas horas y fines de semana) hizo ella solita un trabajo por el que se facturó 500.000 €
#12 made in hiberus!
#12 Yo también! aunque creo que la que conozco yo era por 800€. ¿No sería en Boecillo, Valladolid, en un proyecto i+d? Supongo que no, y que no son casos aislados.
#29 No, en Madrid, y en un proyecto visible por cualquiera.
Aparte de la cagada de ser vulnerables a una inyección SQL a estas alturas de la corrida y guardar las contraeñas sin cifrar. ¿Son necesarios todos esos datos para comprar una entrada? ¿No bastaría solo el nombre y dirección de correo? Ni siquiera haría falta almacenar la tarjeta de crédito si contratas una pasarela de pago
#6 Si te refieres a los IBAN es porque son las cuentas que usan las agencias. Entiendo que guardan los IBAN para facturarles las entradas.
#18 Sí, eso tiene sentido. Aunque la web permitía también la compra a particulares. Si guardaban las contraseñas en claro no me extrañaría que guardasen también los números de tarjeta de crédito
#20 afortunadamente el pago se hacía (al menos hace un par de semanas) vía pasarela de pago, Redsys, creo. Así que ellos no tienen esos datos
Buen artículo, completo y bien explicado.
Yo es que aún me pregunto porque para comprar una maldita entrada a un monumento al que vas a ir una o dos veces en tu vida tienes que acabar danto tantos datos. O cómo para comprar entradas para cualquier cosa te tienes que registrar en 15 sitios diferentes.
1 millón de euros cobrados al año como comisión por entrada y cometen errores tan mierdosos como guardar las contraseñas en texto plano. Del ataque iSQL ya ni hablamos. Falta que guardarán los números de seguridad de cada tarjeta de crédito para redondear el combo.

Espero que la AEPD les sacuda pero bien.

PD: Lo de que muchas webs de otros museos de toda Españada mucha tranquilidad :palm:
#19 Pues tuviste suerte de que te dejaran pasar. Los palacios nazaríes no soportan más carga de visitas que la prevista. Se organiza en turnos de 30 minutos y si se te pasa te pierdes esa parte de la visita (el resto del conjunto de la Alhambra, Alcazaba y Generalife, no tiene horario regulado, por lo que solo se pierde un "tercio" de la visita, el mejor en cualquier caso).

Lo normal es que no te dejen pasar una vez pasada tu hora, el personal tiene orden de no hacerlo, así que quien…   » ver todo el comentario
Una vez pagué para entrar y no me dejaron por llegar 5min tarde a la cola, eso si, el dinero se lo quedan y ganas de solucionar nada 0. Desde ese día como si se quema.
#17 Yo pagué y me equivoqué de turno, llegué 30 minutos más tarde que era cuando era el siguiente y me dejaron entrar sin ningún tipo de problema. Un nuevo caso de que generalizar por un caso concreto, meh.
#19 No ha generalizado. Solo ha contado su caso igual que tú
#19 No, el caso es de falta de comprensión lectora.
Generalizar habría sido afirmar "si llegas tarde no te dejan entrar y no de devuelven el dinero", pero he dicho que YO pagué y A MI no me dejaron entrar.
Que te dejaran entrar a ti, o a todo el mundo menos a mi, me suda la polla, se quedaron mi dinero sin ofrecerme el servicio, y no querían ni cambiarme el día, por mi como si se derrumba en un terremoto.
Menudo agujero, Marca España:
Yo compré las entradas de la Alhambra online y me estoy preguntando para que me pidieron mi DNI y mi dirección para comprar una triste entrada.
Alucino que una empresa del tamaño de Hiberus que se dedica a vender tecnología y sistemas de venta online de este nivel cometa estos fallos de seguridad: SQLinjection, Variables de entrada de usuario sin chequear, datos del backend de transacciones historicas y documentos internos accesibles desde la web, sin sistemas de…   » ver todo el comentario
#15 simple... cogen a gente casi sin cualificar (mientras se pulen a los que tienen experiencia) y les meten a hacer cosas como esa sin darles apenas formación.

Hace ya años ya montaron una buena con el estreno del e-commerce de Interflora
Será gilipollas, ha publicado los screenshots del sqlmap.  media
Eso no es un agujero, es un socavón.
xD xD la web de hiberus ahora mismo dando un error 500
Al final el cuñao de "Como va a costar XXXX€ sí mi primo lo hace en php por 500€" va a tener algo de razón. No por lo que deberían ser estos sistemas, sino por lo que acaban siendo.
Dejando a un lado lo de las contraseñas sin encriptar, me quedo alucinado con la cantidad de gente que se ha registrado utilizando como contraseña el propio usuario :palm:
Hiberus la volvió a hacer (son viejos conocidos por aquí, también con su anterior nombre: Iritec y su dudosa participación en MASTIL)
2019 y aun con contraseñas guardadas sin hashear.

Todo en orden.
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_I_TRUST_YOU};
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_IM_UNDERPAYED};
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_FOR_THE_LULZ};
Llega un punto en el cual los datos que no se filtran son los menos. Cada vez que me preguntan mis datos, sino es oficial, me los invento y a paseo.
comentarios cerrados

menéame