OhMyGeek! Seguridad Tecnologías

HORRENDO: Bases de datos de una Web de Cencosud totalmente abierta [ACTUALIZADO]

Base de datos de Aventura Center

¿Tan poco el interés por respaldar la información privada? Esto es horrendo. En la página de Aventura Center hay listados completos de direcciones, teléfonos, ruts y entre otro tipo de información personal de cientos de personas y sobre todo niños (OMG!).

Lo peor de todo es que cualquier persona mal intencionada puede tomar estos datos y hacer mal uso, desde vender la base de datos a la típica y odiosa empresa de telemarketing a lograr con éxito el maldito phishing.

Todo se puede ver desde, AQUÍ.

OJO: Si para cuando leas el mensaje y el garrafal error de exposición fue corregida por parte de los administradores del sitio, acá queda un video de prueba hecho por la gente de appleblog.cl.

UPDATES MÁS ABAJO…

UPDATE:

· La noticia (esta) si bien fue publicada hoy, no es algo nuevo. EL ERROR LLEVA MÁS DE 2 SEMANAS ASÍ Y NADIE LO HA CORREGIDO. Si alguien tiene contacto directo con la empresa a cargo de la administración del sitio, sea buen samaritano y díganles que hagan algo al respecto.

UPDATE Nº2:

· El sitio en general está completamente hackeado y abierto a cualquier tipo de modificación y forma de obtener información. Lamentablemente los contactos no están habilitados, pero si me hice fan de su Facebook Page, para poder dar un pseudo reclamo de lo que está sucediendo. Si puede -usted- también hágalo.

Completamente hackeados

UPDATE Nº3:

Repetimos si alguien tiene contacto con esta gente por favor comuníquenles la situación. Por nuestra parte (OhMyGeek!), estamos dándoles avisos por todo medio disponible que tengan (como empresa).

Avisando del error vía Facebook

UPDATE Nº4:

Hay que reconocer que a nadie le gustaría encontrarse con información de sus propios hijos en la Web como si nada.  Estamos corroborando que lamentablemente los datos son 100% verídicos; es decir corresponden a personas (variadas edades) que se pueden encontrar sin ningún problema, gracias a la misma información, por Facebook, Twitter u otra red social. De hecho nos enteramos que desde la misma Web se puede descargar un .xls con más de 3000 correos. Un gran, gran, gran FAIL para ustedes.

Lee:  Diariamente se crean casi 2.000 páginas falsas sobre Coronavirus según informe

UPDATE Nº5:

Hemos enviado un aviso formal a la Brigada del Ciber Crimen. Esperemos saber si ellos tienen las facultades de corregir «a la fuerza» (por así decirlo) el error de seguridad.

UPDATE Nº6:

Acabamos de recibir noticias por parte de la Brigada del Ciber Crimen. El Subcomisario Pereira, agradeció nuestro gesto, verificarán la información y tomarán cartas en el asunto. Claramente si tenemos mayores informaciones las estaremos contando.

| vía: appleblog.cl |

Te interesará ver

Grupo cibercriminal Winnti ataca a desarrolladores de videojuegos MMO

OhMyGeek!

Ofrecen falsos bonos de combustible en Shell por Whatsapp y todo es una estafa

OhMyGeek!

Así funcionará el transporte público en la Provincia de Santiago durante la cuarentena total

OhMyGeek!

El 73% de quienes hacen teletrabajo no han recibido orientación en ciberseguridad

OhMyGeek!

Diariamente se crean casi 2.000 páginas falsas sobre Coronavirus según informe

OhMyGeek!

Por más de 5 años «PhantomLance» ha atacado dispositivos con Android para espiarlos

OhMyGeek!

11 comentarios

Cucho P 14 octubre, 2009 at 6:34 pm

eworks.cl es la empresa que diseñaba esa pagina (así sale abajo en las páginas) y el dominio coloradomasters.cl pertenece a ellos.

y tienen ISO 9001:2000 los perlas

Responder
Cucho P 14 octubre, 2009 at 6:28 pm

 Llamé a Cencosud el Lunes (Feriado) y me atendió la señorita (conversación más o menos literal, si la memoria no me falla):

Buenastardesgraciasporllamaracencosudminombrees***enquelopuedoatender?

Yo: Hola. Estoy llamando desde Londres, me llegó un link con los nombres, rut, emails y direcciones de miles de niños registrados en Aventura. Está circulando por varias horas en Internet…. Read more

(pausa) en que lo puedo ayudar?

Digale a alguien, a algún supervisor, que le avise al webmaster o a esta empresa eworks. Esto es urgente.

(escucho tipeo, probablemente buscando la categoría «fuga de datos confidenciales» en el guion del call centre)

Internet dijo?

Si.

Lo siento no lo puedo ayudar.

Pero…

Lo voy a ingresar «en sistema», es todo lo que puedo hacer.

(tipea unas cinco letras)

Lo puedo ayudar en algo más, señor?

No, gracias. Adios.

Responder
Diego 13 octubre, 2009 at 10:21 am

fixed! (o algo asi), el sistema esta offline (apostaría a que solo le cambiaron nombre a la carpeta. LOL)

Responder
Christopher 13 octubre, 2009 at 3:41 am

 hahaha acaba de ver el video, los datos han sido crawled por Google… Clasico!

Responder
Christopher 13 octubre, 2009 at 3:39 am

 Aún está todo ahí abierto al mundo. Si ya sabe la brigada de Ciber Crimen como no tuvo una respuesta inmediata. Si ya le han avisado a Cencosud como no sacaron el sitio del aire? Lo «bueno» de este asunto es que si encuentras tu nombre (o el de un conocido) en la lista puedes modificar los datos haciendo click en el nombre. Al menos así logras eliminar tus números de teléfono, dirección, rut y email….

Responder
Diego 13 octubre, 2009 at 3:24 am

con: http://www.coloradomasters.cl/aventuracenter/consulta_usuarios.php?ver=NUMERO , donde NUMERO>18 , se puede absorber con un robot la base de datos completa D:

que paja hacerlo en todo caso, despues dirian que el hacker es uno xD

Responder
Heru! 13 octubre, 2009 at 12:27 am

Aun puedo ver la información, al parecer no tiene mucho interes en repararlo. (13 Octubre, 01:25 am)
sino me equivoco esto puede ser una «escusa» de demanda a la empresa por mal utilizacion de informacion personal?? o no?…
si alguien con tiempo y algo de enojo se entera de que lso datos de sus hijos estan asi… creo que a la empresa no le ira muy bien.
lamentable.

Responder
kcheto 13 octubre, 2009 at 12:12 am

 la media cagaita

Responder
Heru! 12 octubre, 2009 at 3:33 pm

son las 16:33 del 12 de Octubre, aun sigue asi… cagaso… menos mal que no tengo cuenta o registros en esa empresa.
 

Responder
cesar 12 octubre, 2009 at 2:40 pm

 UUHH!!
Ahora, a las 15:37 –¿a qué hora se publicó esta noticia?– sigue ahí, sin corregirse.
Esto no es un condoro, es, con todas sus palabras, un CAGAZO.

Responder
carlos 12 octubre, 2009 at 1:47 pm

 Guaaaaaaaaaaaaaaaaaaa, esta bien que muestren los errores de las empresas pero más que un error hasta yo mismo puse el correo que sale en el manual y yo tambien pude acceder ja la media cagita.

Responder

Deja un comentario

También compártelo en:
Send this to a friend