edición general
383 meneos
12008 clics
Cuando el fallo de seguridad es que la ministra publique una foto en la que se ve la clave de acceso y el PIN en la URL

Cuando el fallo de seguridad es que la ministra publique una foto en la que se ve la clave de acceso y el PIN en la URL

¿Sabe que está entrando en una conferencia secreta?", le dijo Josep Borrell, responsable de política exterior de la Unión Europea a Daniël Verlaan, periodista holandés de RTL Nieuws. "¿Sabes que es una ofensa criminal? Mejor desconéctate rápido antes que llegue la policía". La amenaza vino por la inesperada aparición del periodista en una videollamada entre los ministros de defensa de la Unión Europea.

| etiquetas: seguridad , daniël verlaan , ministra , twitter
Comentarios destacados:                      
#4 Esto no es un fallo de seguridad, es un fallo de diseño. Ya dije en el otro meneo donde salió esta noticia que como mínimo si quieres distribuir esto lo haces con un toquen aunque sea en el móvil, no un número fijo que se pueda copiar, y preferiblemente con una llave de seguridad física como una YubiKey, el sistema ese lo debió diseñar el cuñado de alguno de los ministros porque sino no se entiende que a ese nivel pasen estas cosas cuando hasta para entrar en tu correo personal tienes más seguridad.
Lo verdaderamente preocupante es que en la URL aparezcan usuario y contraseña, no que se publique una foto de una videoconferencia en twitter, pero eso no parece preocuparle a nadie...
#2 Exactamente.

menuda chapuza.
#2 o como en Menéame que si pones tú contraseña en un comentario el sistema la detecta y la cambia por asteriscos:

**********

:troll:

Yo caí.
#43 Pues la mía si la publica:

Trollmalvado
#43 Hay que poner el link, esto es historia de la intenné! el IRC, qué tiempos!

bash.org/?244321

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ******* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *****
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my

…   » ver todo el comentario
#69 Sigo usando IRC :-D
#83 Acabo de recordar que entraba a un canal de IRC donde se jugaba a una especie de Trivial con un bot.
#89 Ahora el Hispano va como el culo, se salvan Freenode, EFnet y alguna más.
#90 Hace como unos 12 años que no lo uso. :professor:
#2 Así está el nivel. Debe ser que en la NSA están en horas bajas y hay que ayudarles a seguir haciendo el trabajo.
#2 Alguien sólo fue a clase el dia del GET e hizo pellas el del POST
Esto no es un fallo de seguridad, es un fallo de diseño. Ya dije en el otro meneo donde salió esta noticia que como mínimo si quieres distribuir esto lo haces con un toquen aunque sea en el móvil, no un número fijo que se pueda copiar, y preferiblemente con una llave de seguridad física como una YubiKey, el sistema ese lo debió diseñar el cuñado de alguno de los ministros porque sino no se entiende que a ese nivel pasen estas cosas cuando hasta para entrar en tu correo personal tienes más seguridad.
#4 toquen es de la familia de cederrón y bluyíns?
#5 Mmmm no. Token no es spanglish. En castellano se traduce como testigo.
#8 mas bien es "simbolico/a" la traduccion exacta o testimonial, no testigo.
#12 en informática de toda la vida se traduce como testigo. Que sea una mala traducción lo que quieras pero es la que se usa.
#15 De hecho, no es una mala traducción en según qué casos: "token ring" era una red de "paso de testigo" porque el concepto se basaba en las carreras de relevos, donde se lleva un "testigo" que se pasa de uno a otro.
#25 Tolkien, Tolkieng ring. Redes en anillo.
#86 Eso es lo que quería IBM, sí: un anillo para controlarlas a todas (las redes) :-D
#87 y enanillos, muchos enanillos, como Bulsara :-D
#15 en informática se dice token, en 15 años no he escuchado decirle testigo al token a absolutamente a nadie ;)
#35 vale, si se traduce, se dice testigo.
#35 Eso iba a decir, bastante tiene el pobre diablo que tiene que meter oauth en una app, por ejemplo, como para preocuparse de las traducciones precisas de cada término.
#35 También existe el mismo concepto y traducción en ingeniería civil. En las obras de carretera de doble sentido y un único carril, el objeto físico que se utilizaba para regular el tráfico en los dos sentidos se llama testigo y se traduce también por token. Cuando era pequeño en los 70 y 80 era muy común utilizar trozos de madera como testigos para iniciar la marcha y pasárselo al vehículo que esperaba en sentido contrario (el mismo concepto que en informática). Creo que se prohibió su uso como medio de señalización en las obras a finales de lo 80 por su peligrosidad.
#46 Era un concepto que se usaba antiguamente en ferrocarriles, llamado baston piloto.
comofuncionanlostrenes.blogspot.com/2012/11/bloqueos-primitivos.html
Hoy en caso de emergencias en vez de un palo se usaria un boletin/papel con datos que se pasa al llegar.
#15 Yo lo hubiera traducido como pase para que se entendiera mejor o como autorización - por aquello de que no hay papel físico-.
#76 bien, pero es como se enseña, no es que yo prefiera una traducción frente a otra.
#12 no. En su uso más habiual, que es el de sustantivo y el que vemos aquí, token se traduce como ficha, prueba, recuerdo y en informática como testigo.

Solo cuando se utiliza como adjetivo se puede traducir como simbólico, pero es un uso mucho menos habitual, seguramente por culpa de la informática
#24 En procesadores de lenguajes un token es un símbolo de toda la vida.
#33 símbolo no es simbólico como tontería no es tonto (sin segundas de ningún tipo, que conste).

Y un uso especíalizado del lenguaje no quiere decir que su uso más habitual sea eso ni que se pueda traducir así de forma general; es como traducir "he was sentenced to death penalty" por "fue condenado a lanzamiento desde el punto de penal de muerte".

Pero eso sí, tienes toda la razón, símbolo es una de sus posibles traducciones.
#5 tiene más pinta de ser de la familia del corrector ortográfico del móvil.

Y tu chiste es malo, pero no tanto como para que te pongan negativos. :troll:
#30 no era un chiste, era una constatación. De todos modos ¿cómo puede el usuario del negativo llevar aquí desde el 2006 sin un solo comentario? Más misterioso que las palabras adoptadas de la RAE
#36 Em, no:
www.meneame.net/user/borre/commented

Se ve que la ministra de desfensa holandesa no es la única que no se defiende bien con la informática :troll:
#75 cuando se ignora un usuario el contenido de esa pestaña desaparece, pero eso tú ya lo sabías, ¿verdad?
#5 token es token. Es una palabra técnica de la informática cuyo significado en la literatura informática tiene muchísimos matices. Traducir las cosas tiene sus limites. Tampoco un americano tiene palabras para todos los tipos de Jamón Ibérico, o para todos los artilugios y procesos de producir queso.

Llevamos llamando "tokens" a una serie de conceptos desde los 70. ¿Como es en español? No hay traducción. Y si tu dices cualquiera de las cosas que están diciendo por aquí debajo en el resto de comentarios, como "testigo" o "ficha", no te va a entender absolutamente nadie y vas a parecer imbécil y pedante.
#4 Las dos cosas.
Burros los programadores y burra la ministra (bueno, no tiene por qué ser una experta, la verdad)
#11, en este caso la ministra no tiene culpa alguna, no tiene por qué ni imaginarse que esos datos van a aparecer en la url. Para mi 100% culpa de los programadores.
#17 bueno, la ministra ha caído por postureo
#4 Teniendo en cuenta que el/los desarollador/es implementó las contraseñas como texto plano, no se puede esperar mucho de él/ellos.
#4 un token te pasa lo mismo lo suyo es un otp y si es físico mejor.
#4 También habría ido bien un supusitorio rugoso hecho con una aleación de piel de cactus con pinchos retráctiles y que si fallas la contraseña 3 veces salen los pinchos en el recto.

Les han puesto esto asi porque es para tontos, son políticos...

Por cierto, el día que empezó a hacerse cargo de la seguridad en internet el pavo al que le habían robado 3 veces en 1 año su casa, se fue todo a la mierda definitivamente.

He cambiado más veces mi contraseña en el últmo año que hackers en activo hay en el planeta. Por dios, dejar vivir a la gente cabrones!
#32 Yo sigo sin entender dónde está el problema con las contraseñas, incluso con las 'inseguras', al menos en accesos remotos. Cuando fallas 3-4 veces el sistema tendría que bloquear los siguientes intentos sin acompañarlo de otro tipo de autenticación extra ( código por e-mail o lo que sea ).

El tema de que las contraseñas sean únicas y buenas sólo debería ser crítico para después de sufrir un acceso a datos, para evitar que te roben una contraseña más o menos común.

Pero vamos, que en el tema del envío hay varias cagadas king size.
#48 Que te obliguen a cambiar la contraseña cada dos por tres es uno de los mayores riesgos de seguridad que existen actualmente, se mire por donde se mire.

Así, terminan las contraseñas apuntadas en papeles encima de las mesas, en words o ficheros txt, y demás.
No me extraña, es absurdo que te hagan cambiar la contraseña por una simple cuestión de caducidad temporal.
Absurdo.
#51 Tiene una cierta lógica en sistemas un poco críticos, para evitar espionaje o abuso prolongado en el tiempo. Te han podido cazar puntualmente por un despiste, y cambiar la contraseña corrige y evita algunos problemas. Pero yo sólo lo pediría para cosas como la app del banco o similares.

Lo que no tiene sentido alguno es no dejar a la gente usar las contraseñas que quiera, especialmente para servicios y páginas comunes, y obligar a todo el mundo a cambiarla para poner símbolos, números, mayúsculas, etc. De hecho, si quieres más seguridad, es mejor que escribas una frase normal que puedas recordar que una contraseña de ocho caracteres por muy raros que sean, como bien explica mi amigo Randall:

xkcd.com/936/
#56 Qué bueno que es el tío, y pasan los años y sigue manteniendo el nivel.
#61 Es un crack. Tengo una lista de favoritos que no sirve para nada, de lo extensa que es. Debería haber guardado los que me gustan menos, y habría ahorrado mucho tiempo.
#4 Para mi gusto lo verdaderamente preocupante es que una gente que nos representa y que se supone que trabajan para nosotros lo hagan todo a puerta cerrada sin contarnos mas que lo que les apetece.

¡¡Les pagamos el maldito sueldo demonios!! ¿Por que somos nosotros quienes les sirven a ellos?

Se que no es el motivo del envío, pero es que me cabrea sobremanera esta mierda de sistema que ensucia el nombre de la democracia.  media
#39 Hombre, no sé, llámame paranóico pero un consejo de defensa donde se vayan a indicar las pautas a seguir contra, pongamos, el terrorismo, quizás no sea buena idea hacerse público.
#55 Pues que jueguen al poker descubierto

En cualquier caso usted y yo sabemos que las reuniones de nuestros dirigentes (las de verdad, no los espectaculos de circo del congreso) siempre son a puerta cerrada, aunque traten del sexo de los angeles.
#39 Pero la reunión es secreta porque están hablando de la política de seguridad de la Unión Europea. ¿Crees que es buena idea que también lo oiga el "enemigo"?
#65 Que jueguen al poker descubierto.

De todos modos daría igual si la reunión fuese sobre otra cosa, las reuniones de los tratados de comercio por ejemplo son todas secretas.

www.meneame.net/story/pp-psoe-upyd-ciu-unidos-favor-tratado-negociado-
#4 Coñe, que Google y Steam te pide el token de la app o que confirmes desde el móvil que eres tú, a estas alturas son medidas de seguridad de andar por casa, no es algo sacado del cyberpunk. ¡Hasta un político podría usarlo!
#4 Con no poner el PIN en claro en la URL ya hubieran evitado al juanker.
#4 Si realmente es una reunión de máximo nivel de seguridad yo casi diría que esto hay que hacerlo en una red punto a punto ¿no?
#4 en zoom hay una opción que es "sala de espera" donde el paso lo da una persona. Con sólo eso ya se evitan la mayoría de estos problemas
También es muy gracioso cuando la gente te manda una parte de una captura de pantalla en un Word, justo con lo que ellos han recortado.

Y coges el documento, expandes los bordes de la imagen y... ¡Tachán! Ahí está la pantalla completa: el Emule, el navegador con una pestaña en Pornhub, el mensajito del Windows sin activar, etc... xD
#6 solo una pestaña de Pornhub? Qlgo turbio hay ahi
#19 O eyaculación precoz :-P
#6 ostias eso no lo he visto nunca pero me hubiera partido el culo, hace una captura y meterla en un word pero más grave es que la cierren pensando que recortan
#68 Haz la prueba. El último caso que he visto era de una profesora de infantil que esta pandemia lloraba amargamente por lo mal que le iba el ordenador, el internet, y lo que le fallaban las videoconferencias de Zoom, y que por eso no le quedaba más remedio que pasar la "tarea" (ver 4 videos de Youtube y colorear 4 PDFs a la semana) por un chat interminable de Tokapp*, único y compartido para todo el colegio por cada familia, independientemente del número de hijos y número de…   » ver todo el comentario
#70 de momento le quedan unos años para ir al cole a la niña pero miedo me da por lo que me cuentan los compis entre grupos de WhatsApp de padres cazurro e historias de profesores analfabetos digitales
En mi empresa tenemos algo parecido para entrar con el perfil de un usuario concreto, pero sin tener que hacer login. Lo usamos cuando estamos haciendo pruebas, para no tener que hacer login constantemente. Tuvimos que advertirle a uno de los comerciales que estaba haciendo una presentación en powerpoint con capturas donde iban las claves de acceso de un usuario. :palm:
#1 si, se llama token.
#22 hay múltiples maneras, no seas tan listo
Es un error al implementar los formularios de la aplicación, básicamente han utilizado un método GET por el que las variables se envían como un parámetro de la url (los reconoceréis porque se visualizan de este modo midominio.com?parametro1=valor&parametro2=valor etc.), en lugar de usar el método POST que lo manda en el cuerpo de la petición, de modo que es "invisible" para el usuario.

Aunque más grave es aún que se vea como texto plano, ya que podría haber sido convertida mediante algoritmo.
#18 Sí, eso lo aprendí yo en 1997 al hacer mi primer form. El HTML 1.0 estaba fresco todavía. Con lo que ha llovido o dejado de llover, uno piensa que deberían estar un pelín más avanzados...
#18 ¿No se puede utilizar POST con parámetros en una URL? No entiendo... yo hubiera dicho que sí
#63 Hasta donde se esa es precisamente la diferencia entre ambos métodos
#63 se puede, pero cuando abres una nueva web en el navegador la petición es siempre get. Por eso lo normal es que te redirijan a un formulario de login y ahí sí que se pasan los parámetros con post
#3 Y también ha demostrado que de seguridad no sabe demasiado :

www.elconfidencial.com/espana/2016-11-14/borrell-denuncia-que-le-han-e
#3: Y de infraestructuras (en concreto de cargárselas):
www.google.com/maps/@41.3579599,-5.7336948,3a,75y,184.03h,82.75t/data=
Junto con Enrique Barón y otros políticos es el responsable de dejar a numerosos pueblos sin ferrocarril.
Por su culpa y la de otros, ahora no se puede ir a muchos pueblos en tren, eso sí, las autovías que no falten.
No me extraña que haya luego cambio climático con semejantes políticos que hemos tenido en España. CC #38.
#3 Tome usted :calzador:
Vaya truño de software usan para las reuniones de defensa, madre mía. Suerte que no tenemos armas nucleares
¿Os imagináis que hubiera que aprobar unas oposiciones para ser político? Con un temario que incluyera un par de idiomas comunitarios, algo de economía, historia, gestión, nuevas tecnologías... Y una vez aprobadas, ya puedes optar a un cargo. Si eres de los 1000 mejores de España claro, porque sería como una oposición.

Me pregunto de que iban a trabajar todos estos políticos profesionales que ahora viven chupando de la teta desde que entraron en las juventudes de sus respectivos partidos y que son expertos en tejemanejes, favores y chanchulleos varios.
europeistán... ahora Africa empieza en el norte de europa. A estos se los comen los americanos, los chinos, los indios... y a saber cuantos más.
La amenaza de Borrell da bastante vergüenza ajena.
#27 En esa frase te ha sobrado el "la amenaza de". :troll:
Menuda cagada de la aplicación poner eso en la URL.....

Becario despedido !!!!
#9 Becario despedido !!!!

Y no quedó ni el apuntador (salvo los directivos) :-D
La porrada de millones que habrá costado ese sistema...
Ostia, es que es ridículo la seguridad que tiene. Mínimo tendria que ser con un token rsa.
Aparte de lo básico (GET vs POST, encriptacion de la clave, etc) .... a saber lo que han pagado para tener esa chapuza. Probablemente a precio de software de la NSA.
Putos consultores siempre la lían 8-D Seguro que la seguridad no estaba incluida en el contrato del desarrollo :shit: :shit:
Dupe www.meneame.net/story/periodista-holandes-accedio-reunion-secreta-mini Aquí trataron lo mismo, el acceso del periodista fue por ese fallo que también describen.
Cuando se entra en Menéame sin logearse puedes ver lo que hacen los usuarios que te han ignorado, pero eso tú también lo sabías, ¿verdad?
Típico de Holandistán.
#7 No es Zoom lo que usan ?
#14 No. Si sale Borrell es una del consejo de Europa y es una app local de ellos.
#7 sorry por el negativo.. dedazo
Mortadelo y FIlemón no es una sátira, es un documental recreado.
Se supone que es una reunión de Ministros de Defensa, donde no hay ningún tipo de seguridad.
¿Deberiamos confiar entonces en nuestro mandatarios? Una cosa tan básica como es la seguridad y confidencialidad en las redes
comentarios cerrados

menéame