https://www.adslzone.net/noticias/seguridad/sprinter-brecha-seguridad-filtra-datos-clientes-1123/
Me acaba de llegar un email sino ni me entero, han robado los datos de todos los clientes registrados entre los que se incluyen:
Me cago en sus p*** madres, más datos para que me sigan enviando phising. No hay más que inútiles guardando nuestras credenciales. Para una puñetera vez que compré online en ese sitio...
#2 Todo son risas hasta que alguien hace una estafa usando tu datos personales y entonces te tienes que buscar un abogado y pagarlo de tu bolsillo, como le esta pasando a un conocido.
Si la gente no se tomara estas cosas a broma quizas podriamos hacer responsables a las empresas con unas multas lo suficientemente importantes como para que considarasen invertir mas de 4 euros en cibierseguridad, pero mucho tempo que ese barco zarpo hace tiempo.
#5 Para sacar esa info se ha tenido que comprometer una base de datos, puesto que el servicio comprometido es una aplicación web, es probable que hayan obtenido acceso a través de esto, si hubieran pillado un RCE con altos privs para acceder a la base de datos, probablemente estaríamos hablando de un destrozo mayor...
#8 suele ser mas sencillo que eso, algun acceso al backofice y a tirar peticiones a la app de consulta de clientes o a saber, dudo que sea una simple inyección. Sea como sea que les metan un purazo
#8 El SQLi es algo más viejo que el cagar, dudo mucho que el servicio de TI no hubiese tapado ese agujero la verdad.
Esa estupidez de dejar esa puerta abierta solo le puede pasar a páginas gubernamentales (De nuestro país más concretamente)
#6 Sin ir más lejos, llamar a gente mayor, diciendo que son del banco, ya tienen todos los datos necesarios para acceder y pueden hacerlo sólo con el código del SMS.
A mi abuela le robaron 3.000€ así, y porque tenía el limite puesto y bloquearon las demás transferencias, por suerte se lo devolvieron.
A otras personas les pidieron hasta un crédito con la misma jugada y después lo sacaron.
Pero con fecha de nacimiento, teléfono y DNI, sólo te tienen que dar 1 código y estás dentro.
#10 Si te contara los SQLi que he pillado en empresas pequeñas y grandes en entornos de producción flipas.
La pregunta es para que quería una tienda deportes nuestro DNI?
La regulación sobre protección de datos es clarísima. No hay que recoger datos innecesarios, mucho menos los que son especialmente peligrosos.
#10 El tema es que en muchas de estas empresas, la gente se imagina un equipo tochisimo de IT y cybersec, y la realidad es que en algunos casos, son 2-3 tipos frikis del hardware y alguno que se ha sacado un titulo de ciberseguridad.
Luego esta el otro tema... puedes tener un equipo de seguridad de la hostia, que si algun empleado se ha creído que ha ganado el sorteo del 999 iPhone 15 Pro Max 1Tb al ser el numero 1000, ya la tienes liada.
Una cadena es tan resistente como el perno más débil - Y si ese perno, es una persona de RRHH con 46 años que se saltó el curso de phishing... poco hay que hacer.
#16 Y por cosas como estas, prefiero pagar 5€ más en la compra, que dar mis datos para una "promo" de registro y obtener suculosos descuentes en la siguiente compra xD
#17 Sprinter encima es una empresa que la vendieron hace "poco". No sé cómo lo llevarán los nuevos dueños pero los anteriores tenían mentalidad PYME total, pagaban fatal.
Nivel ofrecer 1.200€ a gente del departamento de logística o tirar en bucle de gente haciendo prácticas de derecho para departamentos de cosas legales xd
#18 Dios, menudos negreros por dios xD
Y la gente sigue comprando en estas mierdas de cadenas? Poco nos pasa...
#17 No es justo hablar solo de la gente.
He trabajo en empresas muy tochas de varios sectores, y el problema principal era que IT cuesta un dinero que no están dispuestos a pagar.
Por ejemplo, grupo IT que junta chorrocientos proveedores ... el DBA pertenece a un proveedor que no tiene un contrato 24/7. Hacer una peticion de BD implica 12/24 horas. Surge un gran acontecimiento en el sector, tu zOS permite lo q permite y el WAS hace 5 años que debiais haberlo migrado. Al final el equipo DEV hasta la polla de pringar fines de semana, oculta un formulario (simple, una caja de texto y un boton), y así ya puede cambiar la BD de producción en caliente.
Otra, migracion de sistemas en financiera tocha, que presupones morterada de pasta ... el proveedor A es colega del hijo, del nieto del subdirector, el proveedor B no sabe ni como ha ganado lo que ha ganado, el C acaba de llegar y esta enterandose de lo que habia cuando lo llevaba el proveedor A. Proveedor D pide a los equipos A/B/C q toca currar el fin de semana para la migracion de sistemas, se niegan, el cliente no esta dipuesta a pagar lo que cuestan los proveedores un fin de semana ... acceso administrador al proveedor D ("pero solo hasta el Lunes, eh!").
A todo esto le sumas, un becario hasta la polla, un junior que se pira, un senior que se jubila ... un portatil que roban, una password hardcodeada subida en el Git/bit/lo que sea .. q las prisas no son buenas.
Pues poco pasa.
#21 Buen punto, totalmente de acuerdo. Con esto no digo que el equipo de IT sea malo. Me refiero a que son los que son. 2-3 tipos, y sumale si quieres un becario.
Donde ademas, el equipo exec de la empresa no ve a IT como una inversion (en seguridad), sino que lo ve un gasto (en servicios) que suelen ser los primeros en sufrir recortes.
#16 si es online algunas lo piden por defecto para hacer factura a todos los clientes y dejarse de facturar sólo a quien lo pide.
Se ofrece experto en seguridad informática. Amplia experiencia como ingeniero jefe en la cadena de ropa deportiva Sprinter. Interesados consultar
