#Clarogate (no, esta vez no soy yo)

Iniciado por chillinfart, Mayo 12, 2011, 06:03:57 PM

Tema anterior - Siguiente tema

chillinfart

Junto dos noticias referidas a un fallo de seguridad en los SMS enviados desde la página de Claro en República Dominicana. Traigan un pañal porque se van a cagar de risa.

#ClaroGate es #Hashtag en Twitter usado para compartir la tremenda falla que alguien descubrió en la página WEB de Claro Dominicana.  Entrando a una URL especial (Claro ya resolvió el problema) se pueden ver todos los mensajes SMS que son enviado desde Claro y lo peor de todo es que también muestra los números telefónicos de sus clientes.  Con tan solo presionar F5 en tu teclado ya estando en la página los SMS se actualizan y podrás ver los últimos mensajes enviados en tiempo real.

Veremos que tan pronto Claro resuelva este tremendo problema para sus clientes.  Todos sabemos que las compañías pueden leer todo lo que pasa por sus redes, pero con esto, ahora todos pueden leer lo que estás enviando.

fuente: http://ejercitogeek.net/2011/04/%C2%BFque-es-clarogate-claroleaks/

El #Clarogate y la pírrica respuesta de Claro

Los problemas de imagen que enfrenta Claro no son nada nuevo. Desde que Codetel pasara a manos de Carlos Slim, los "apagones telefónicos" han sido frecuentes y la irritación de su clientela cada vez ha ido in crescendo. Y peor aún, habiendo sido siempre una de las empresas con excepcional servicio al cliente, luego del cambio de manos el clamor de la ciudadanía ha sido permanente con relación al pésimo servicio que ofrecen sus representantes. Los empleados más veteranos, que vienen de cuando Codetel era Codetel, manifiestan con preocupación que "los mexicanos" han destrozado el ambiente de eficiencia y la cultura de servicio que existía a finales del siglo pasado.

El #ClaroGate explicado

El viernes parecía que iba a estar plagado de comentarios acerca de la boda de William y Kate, el par de carajos de la anacrónica monarquía británica. Felizmente, la siempre eficiente empresa Claro (insert sarcasm here) nos ha librado de tal cantidad de aburrimiento, al destaparse el #ClaroGate. Si acaso aún no sabe lo que es eso de ClaroGate, los muchachos de EjercitoGeek hicieron un artículo al respecto, el cual ha sido tan popular que les ha tumbado el blog más de una vez (¡felicidades por eso!).

¿En qué consiste? Mediante la URL que reportó EjércitoGeek, cualquier persona podía entrar a una página dentro del portal de Claro en la que visualizaban todos los SMS que se enviaban desde el propio portal de Claro (los SMS enviados de celular a celular no aparecían).

El #ClaroGate viene a unirse a una retahíla de problemas de imagen que tiene la empresa, y desde mi punto de vista, no es "una simple avería" sino una muy seria brecha de seguridad en los servicios de la empresa.

La (pírrica) respuesta de Claro

Esta misma tarde, a través de su cuenta de Twitter, Claro emitió una simple, insuficiente y (en mi opinión) falsa explicación de lo sucedido:

"Hubo falla servicio SMS Interactivo en portal, fue corregida por técnicos en menos de una hora. Los SMS de móvil a móvil no se afectaron". (http://twitter.com/#!/ClaroRD/status/64083596041916416)

No fue una "falla", sino un monitoreo que tenía un largo tiempo ocurriendo.

No fue corregida, simplemente pusieron un acceso por contraseña a la misma página. Cuando intentas entrar al URL especial, el web server debería indicar que tal documento no existe, sin embargo, pide un usuario y una contraseña (si presionas "Cancel", el webserver indica "You are not authorized to view this page", pero la página aparentemente aún existe.

¿En menos de una hora? ¿Qué significa eso? ¿Que fueron "eficientes" porque sólo pasó una hora desde que se dieron cuenta hasta que bloquearon el acceso?

que hay detrás

El que se haya hecho público el URL con todos los minimensajes es preocupante por muchas razones. Aquí algunas.

¿Para qué querría Claro guardar en un registro los SMS vía la web, en su propia web? No hay ninguna razón que justifique algo así. Debido a la naturaleza del servicio, no me asombra que las telefónicas guarden registros de todos los minimensajes que se envían (incluyendo los que son de móvil a móvil), del mismo modo que guardan registro de todas las llamadas que se realizan. Sin embargo, tales registros se realizan a través de sistemas legacy que no tienen por qué utilizar el servicio web.

Por esto, mi sospecha es que el #ClaroGate es un "inside job" de algún programador astuto que movido quizás por el morbo, o probablemente buscando pescar información, se le ocurrió la idea de inyectar el formulario de envío de minimensajes con una instructiva para alimentar el famoso "gethint40.asp".

¿Qué hay en los minimensajes?

Juntando documentos que aparecen aún en los cachés de Google y Yahoo! construí un archivo con más de 1400 mensajes que datan de varios días atrás, y con ellos hice una nube de términos. Me causa cierta alegría ver que las palabras más comunes fueron "Amor" y "Amo". Parece que es cierto el eslogan aquél de "hay amor en mi ciudad".

http://40limon.es/wp-content/uploads/2011/04/ClaroGate.jpg

Pero preocupa que también hay dos números de tarjetas de crédito (¡una de ellas incluye la fecha de expiración y el CVV!), varias referencias de embarques de mercancía comercial, muchísimos teléfonos con nombres, pero sobre todo, una cantidad asombrosa de mensajes de índole sexual, que relatan experiencias amatorias, y llama la atención que hay una alta frecuencia de relaciones sexuales prohibidas (léase, "cuernos"). ¿Qué es lo peor? Que cada minimensaje tiene el número telefónico de la persona que recibió el mismo. Bueno, también está la horripilante ortografía de los dominicanos como punto a resaltar, pero sé que a poca gente le importa esa vaina.

Quiere decir que la "negra linda" cuyo celular termina en 2128 (que figura con 10 minimensajes en 15 minutos a partir de la 1:54pm) se va a meter en un lío enorme si su esposo se entera de que cuando ella va a Haina los martes es a recibir "un mandado del lechero".

De igual manera, el "tesoro" cuyo celular termina en 5860 tiene la encomienda de cuidarle varias partes del cuerpo al emisor de dos mensajes el 22 de abril. ...y no son los pies!

Felizmente, la dueña del celular que termina en 2078 puede acostarse con Alex, Jefri, Jose Luis "y con tu tigueres" porque evidentemente el pana que le envió ese minimensaje al mediodía de hoy le sacó los pies y la dejó libre. ¡Ya se liberó de ti!

Claro, la red donde todo es posible, ha cumplido el deseo del novio de Adrián cuando le dijo "Que lo sepa el Mundo Adrian! Te Amo y somos pajaros los dos!!!". Hoy por lo menos toda República Dominicana sabe que Adrián (celular terminado en 3204) es homosexual. ¡Vaya forma de salir del clóset tecnológicamente!

Preocupa las actividades que se realizan después de la escuela: "Despue k salga De la escuela nos vamos y compra la bebida y me espera por el colegio d la monja tu me avisa del lado mas atra ok ya sabe klk" (celular terminal 7899).

Los ejemplos sobran. Pueden seguir viendolos en:

http://40limon.es/index.php/2011/04/el-clarogate-y-la-pirrica-respuesta-de-claro/

Cagaste claro (y esta vez no fui yo  ;D )
Nine O' clock, charge your glock.