GRAN DT: la (in)seguridad de las contraseñas
Si alguno jugó al Gran DT (de Clarín) el año pasado, van a recibir un mail que dice algo así:
Hola, fulanito. Se lanza el Gran DT de este año, jugá de nuevo … y demás palabrería
Pero lo GRAVE del asunto es lo que viene a continuación:
Tu usuario: 25.xxx.xxx
Tu password: abc123
Eso significa que no tienen las claves encriptadas en la base. Para hilar más fino implica que cualquier empleado de Clarín que tenga acceso a la base conoce las contraseñas de TODO el mundo.
Pero para seguir hilando aún más profundo, los usuarios son los números de DNI de cada persona, es decir que, pueden relacionar fácilmente PERSONAS con CLAVES (y es muy alto el porcentaje de gente que usa la misma pass para todo).
Así que, si participaste del GDT, a cambiar contraseñas (y a pensar dos veces en volver a jugar en el concurso de Clarín).
¡De yapa! Lean el reglamento del Gran DT, dice cosas como:
El Organizador no se responsabiliza por el uso que pueda hacerse de la información provista por cada Participante en el supuesto que la misma sea utilizada sin autorización del Organizador.
El Organizador no se responsabiliza de las posibles pérdidas, deterioros, robo de información, retrasos o cualquier otra circunstancia que pudiera perjudicar a los Participantes del juego Gran DT, como consecuencia de su participación.
No hay trackbacks aun.
El curioso caso del clarinetista escondido
about 11 months ago - 14 comentarios
Por Ariel Glaz
Antes que nada, quiero agradecer a mi amiga Romina Jorge por cederme este espacio de expresión en su blog.
Sutil.
(Del lat. subtīlis).
adj. Agudo, perspicaz, ingenioso.
Vayamos por partes. No soy ni vengo a escribir aquí como periodista, comunicador social ni trabajador de los medios de prensa. Tampoco vengo a expresar mi opinión como diseñador gráfico. [...]
Identidad demorada
about 1 year ago - 3 comentarios
Clarín empezó el año (¡Feliz 2009! ) con un fallido de aquellos.
La nota en cuestión es sobre un asalto y tiroteo en pleno Recoleta.
Como quizás alguien se de cuenta y lo editen, tomé una captura de pantalla. Si bien la croniquita parece algo normal, el desastre acontence en el último párrafo.
Mientras los detenidos [...]
Clarín y la piratería
about 1 year ago - 12 comentarios
¿El Grupo Clarín apoya a la piratería?
Parece que fallaron las negociaciones para comprar Taringa.net y sacaron el sitio de linksharing (que) “todos lo hacemos”:
Tipete.com.ar
Comentan por ahí que, puertas adentro del multimedio argentino, lo llaman Claringa.
Una perlita: muy bueno taringa.com :p
Compartir:
Contradictio in terminis
about 1 year ago - No hay comentarios
Presos libres.
Clarín, 02/11/08
update: el genial paper papers también hizo referencia
Compartir:
about 1 year ago
Ya me parecía que por algo no jugué en la edición pasada… Tampoco pienso hacerlo en esta ocasión.
about 1 year ago
Ya somos varios los que no jugamos. Prefiero ofiprode.com
about 1 year ago
No me sorprende… Anyway, para este tipo de sitios deberíamos tener una contraseña genérica y no usar la misma que la del… homebanking por ej.
about 1 year ago
ANOTENSE EN LA Liga de Amigos del Gran DT que se llama APOLO AUMENTA LOS SUELDOS. Exitos y a ganar!!!
Recuerden APOLO AUMENTA LOS SUELDOS
Recuerden APOLO AUMENTA LOS SUELDOS
Recuerden APOLO AUMENTA LOS SUELDOS
Recuerden APOLO AUMENTA LOS SUELDOS
about 1 year ago
No necesariamente guardan las claves sin encriptar. Uno puede tranquilamente recibir la clave, enviar el mail correspondiente y luego guardar en la base de datos con el algoritmo de encriptación que uno desee.
No quiero ser agresivo, pero hay que tener cuidado a la hora de hacer una acusación así.
Saludos.
about 1 year ago
Cualquiera la teoría de las contraseñas encriptadas… soy analista de sistemas y juego al Gran DT. Además, cada uno pone la contraseña que quiera. Me suena más a una teoría conspirativa que a lo que pasa en realidad.
about 11 months ago
Matias y Fefo. Evidentemente, jamas trabajaron con bases de datos.
Si guardas algo en la base son la contraseña encriptada y “parte” del algoritmo de desencriptacion porque guardar el algoritmo entero, es exactamente lo mismo que guardar la pass desencriptada.
Aun con este metodo, en el encriptado mas simple md5, rerquiere innumerables cantidades de procesos por fuerza bruta para desencriptar una sola password. El grandt estaria horas para resolver la contraseña de 1 solo usuario.
No sean obsecuentes e informense por favor.
about 11 months ago
Perdon no, pero todas las paginas te mandan alguna vez la pass como la pusiste.
Tendriamos que entonces acusar a todos los que te la envian porque segun esta teoria, no estan encriptadas.
Ponete a leer todos los acuerdos que le das aceptar antes, vas a ver que tienen muchas de esas cosas.
Saludos!
about 11 months ago
Si la pass sale al momento de registrarte, es probable que te la hayan mandado antes de encriptarla.
Por algo el recuperar contraseña no te envia la contraseña actual sino una nueva en cualquier sistema decente
about 11 months ago
A ver, señores, de verdad… si no saben no opinen porque están zarpando una boludez tras otra y confundiendo a todos.
@Matías, cualquier algoritmo de encriptación usa la misma contraseña para encriptarse; asi que es IMPOSIBLE que la desencriptes tan alegremente. Como dice Matt, la unica forma es por fuerza bruta.
@fefo, como analista serás un fenómeno, pero de base de datos no sabés una goma.
@fedex, los sitios que te piden resetear la contraseña, te generan una NUEVA y te la mandan al mail que seteaste en tu cuenta. JAMAS te mandan la misma que pusiste porque NO DEBERIAN tener forma de averiguarla.
Lo del Gran DT es asi, las pass están desencriptadas en la base, cualquier gil de sistemas la puede saber y no hay ninguna teoria conspirativa, es la triste realidad. Y no tiene tanto que ver que se trate del multimedio mas grande del pais, lo que realmente importa es que a la gente no le importa nada su seguridad digital, porque sino no usarian las mismas contraseñas para todo.
Saludos,
about 11 months ago
@max: Disculpame no, pero jamas hable de cuando pedis que te manden una nueva (que oviamente no te mandan la vieja, sino se llamaria de otra forma). No confundas vos a la gente.
Como bien dijo Matt, es probable que la envien antes de encriptarla.
No se, tendria que entrar alaburar en clarin y encontrar la base de datos, saltar o no las protecciones y sacar las pass de todos, asi les pongo los peores equipos el mio por fin puede ganar los $10000, que no le vienen mal a nadie.
Saludos!
about 8 months ago
Realmente creemos que los datos están tirados en una base de datos con acceso de consulta a todos los que laburan en “sitemas”, vamos muchachos uds saben bastante, asi parece, y quiero creer que esa información se maneja con cierto nivel de seguridad y que no cualquier empleado de sistemas pueda acceder a toda la info… en fin, se planteó un debate interesante. Habría que leer un poco mas sobre seguridad para opinar.
saludos,
fernando
about 1 month ago
hola amigos esta es la primera vez que me voy a inscribir al gran dt, pero en el paso 3 me pide una clave y no se cual es..que tengo que poner??
o a donde tengo que ir?? gracias