Hasta ahí el cuento suena bien, entiendo tu postura pero deberías analizarlo en profundidad.

Siguiendo el cuento:

Vos adquiriste el auto en la concesionaria, ellos te dicen que el auto tiene cierre centralizado, alarma volumétrica y demás chiches, vos como parte del “contrato” aceptás eso y “crees” en lo que la otra parte te dice. Hay cosas que vos no podés comprobar, por desconocimiento o por lo que sea.

Me seguís?

Ahora resulta que vos hiciste todo lo que te dijeron que tenías que hacer al dejar el auto solo, no sos vos el que se olvida de cerrar, sino que en realidad tu coche no tiene sensores volumétricos, ni cierre centralizado. Simplemente basta con forzar apenas la cerradura y listo, todos los documentos del auto, de tu amigo quedan disponibles para todo el que pase y vea. No solo eso, parece que dejaste la tarjeta de crédito con todo lo que eso significa…

Dónde está el problema?

a. En vos por confiar en la “concesionaria” (aka geelbe)
b. En la concesionaria por “mentirte”
c. En el que probó para robarte y encontró la tarea “demasiado fácil”
d. En el que denuncia a la “concesionaria” por estar haciendo las cosas mal y publica que cambien de “concesionaria” más todos los datos que tenían en el auto

Es bastante injusto defender a quienes deben velar por cierto grado de seguridad, ampararse en lo que un extraño haga con esa falta de seguridad y encima pasarse al papel de la víctima porque no pueden explicar la situación.

Repito lo que le dije a briacoi, si yo dejo algún dato sensible de la empresa a la “vista” me rajan sin preguntar. Nosotros lo único que pedimos es que reconozcan el erro y al menos expliquen que van a hacer para que no vuelva a ocurrir.

Después quedará para cada uno el pensar si tener las llaves de la casa junto con las del auto es buena idea.

Salvo que el cuentito a medias te deje tranquilo, a mí no…

Saludos!

Está bien, creo que lo reconocieron al blanquear las contraseñas y enviar el mail a los usuarios para avisarles.
Yo no digo que no haya responsabilidad por parte de Geelbe, sino que hubo mucha mala leche y actitud acusatoria que nada tenía que ver con la preocupación por los datos sensibles.

Creo que me perdí

Como dice Sergio, hay ciertos protocolos para “cerrar el auto” que se deben seguir, el problema en este caso no es que se olvidaron de cerrarlo, este auto (geelbe) no tenía cerradura siquiera (las contraseñas no estaban encriptadas).

Acá se me fue la metáfora:

Ahora todo el que haya leido el post con los nombres de usuario y mi contraseña sabe exactamente cual es mi password, si la hubieran guardado bien solo sabrían como se encripta la contraseña, pero nadie podría saber cual es.

@Guty
Yo tenía esa misma clave en Twitter y Facebook, por poner dos ejemplos ciertos, y tuve que salir corriendo a cambiarlas.

Si yo no hubiera estado despierto justo a esa hora, lo más probable es que hoy se encontraran a cualquiera con mi cuenta.

Porqué tenía la misma pass, porque en un principio uso para todos los servicios la misma, pero estas redes sociales hoy son importantes para mí.

Eso implica un error grave, gravísimo de seguridad, que si no lo explican bien de parte de ellos uno podría pensar que tratan de la misma manera a los datos de tu tarjeta.
Es más, nada me impide pensar que no es una actitud aislada y que hay un teleoperador escribiendo tu clave de la tarjeta en un post-it…

La actitud de salir a pegarle a los que critican es aún peor, digna de las grandes empresas, pero en el mal sentido…

tu metáfora no aplica, me gusta más la de Sergio. En tu metáfora vos no hiciste nada malo, pensalo como si hubieras dejado la puerta entreabierta. O si les hubieras prometido y re prometido a tus amigos que estaba cerrada con llave y vos sabías que no.

O sino, mejor pensá en la metáfora de Sergio. Acá la empresa que fabricó el auto no lo fabricó seguro y vos y tus amigos sufrieron las consecuencias. Qué pensarías si el auto, xej no tuviera airbag, o el cinto de seguridad fuera de un material que se rompe facil?

Y en cuanto al ladrón de tu ejemplo, NADIE se preocupó x él, ni los que acusan ni los que defienden. Y a mí se me hace que es porque algunos de ellos saben quién es el ladrón, es un conocido, un amigo… no te parece?

De acuerdo con N3RI, nadie se percató de que el Blog apareció de la nada, estebanbianchi se enteró al toque y es raro que alguien supiera que las claves estaban a la vista.

Lo más típico en casos de “bronca” es el deface, la caída del sitio, pero acá fueron directo a la seguridad. Lo que hace sospechar acerca de una intencionalidad en mostrar esta flaqueza y la bronca de los que defienden porque sienten esa intencionalidad.

Algo me dice que el “hacker” no es tal, sino tal vez un empleado o alguien con el conocimiento interno.

Desconozco quienes trabajan en Geelbe y no tengo info de esas suposiciones, por eso solo son suposiciones.

Me gusto la pequeña fabula. No te quepa duda que me dejo pensando. Sigo chusmeando tu blog recien lo descubro.
Un saludo.

Es más, hasta te diría que el mail que mandaron es bastante escaso y apunta a tips de seguridad para los usuarios cuando deberían entender que el error fue de ellos.

Poco importa si uso mis datos de fecha de nacimiento como clave, acá no me “adivinaron” la password, simplemente accedieron a un servidor y las descargaron.

Esos mismos que se ofenden ahora, ayer estaban cambiando claves lo que indica que SÍ, las claves publicadas eran las verdaderas de los usuarios publicados.

70.000 autos sin alarma…
70.000 dueños equivocados?

Estas perdiendo el punto totalmente… Primero que nadie se solidarizó ni perdonó al “ladrón” el ladrón es ladrón, punto.

A nadie le llamó la atención un hackeo. Eso es algo que pasa, es difícil de evitar y hay que tener en cuenta muchos factores para prevenirlo.

Yo creo que el problema es que en Geelbe cometieron una negligencia grave y no un simple error. Quizá alguien que no esté en el tema no vea cual es el problema, pero el error de ellos es que vos le diste una contraseña y ellos la guardaron sin ningún tipo de seguridad. Esa es una mala práctica, es un error de libro de texto. Es un claro indicio de que la seguridad no es su primer preocupación. Y es por eso el backslash. No es de jodidos, ni de mala leche, como se simplifica por ahi.

Si fuera una empresa preocupada mínimamente por la seguridad, no hubieran tenido este problema.

En mi caso particular, yo me imagino como es el asunto porque esta situación (guardar las contraseñas en formato texto) sucede en mi empresa. Lo que pasó en mi empresa es lo siguiente:

Mis jefes no saben mucho de programación, contrataron alguien por dos mangos o que no tiene mucha idea (hay mucho programador improvisado que programa cosas que parecen estar bien pero no lo están)
Yo no estoy contratado por ellos como programador, pero tengo acceso a las bases de datos y código de ves en cuando.
Yo les avisé sobre este problema y otros, y su respuesta fue “cuando encontremos un busines model que ande vamos a volver a programar todo teniendo en cuenta la seguridad”.
Mientras tanto, ellos tienen datos críticos de los usuarios en sus bases de datos. Una tragedia esperando suceder.

No digo que sea el caso exacto de geelbe, pero es inexcusable tener este tipo de errores. Repito, es negligencia, no error.

Yo creo que tenes que tomar fosfovita gusavito, asi no te olvidas de cerrar el auto, te robaron el estereo? (?)

si el hacker entraba, y encontraba todo hasheado encriptado, no estaríamos hablando del asunto #geelbe Por algo será.
A mí si llego a entregar mi software con problemas de seguridad mis clientes me crucifican, me demandan y me dejan en la calle (bueno, no, para eso hay un TOS, pero igual)

Eso es indiscutible

Esto no es 2.0rismo, es mucho mas basico, no se trata de fama del momento o grupito de pitones a contra pitones b.

Es basico, una empresa que se dedica a vender productos por via internet tiene varias responsabilidades que es imposible evitar, negar, rodear o alterar.

primero y principal es que el producto entregado sea el que se muestra onsite, el segundo es la comunicacion en el tiempo de entrega fehaciente y constatable en todo momento, el tercero es la seguridad de los datos del comprador y no me refiero a solo aquellos estadisticos de marketing si no a datos sensibles como numeros de tarjeta de credito.

Nadie se queja de que les roben los datos, pero si no tomaron medidas de seguridad que parecen ser basicas para cualquiera especializado en el tema y que en el caso de una empresa que vende productos via internet son parte escencial de la razon del sitio, entonces estamos hablando de negligencia seguramente alimentada por el tipico empresarialismo emprendedor argentino, garcar a todos, llenarse de guita y aportar lo menos posible total que me chupen el pito esos giles.

En conclucion, geelbe me la chupa de parado en un baño de constitucion.

Sospecho que el problema es que muchos defienden a la empresa exageradamente porque no entienden que no hay razón de peso para tener los passwords en los servidores.

Una mejor metáfora:

Es como si te enteraras que el dueño del estacionamiento de tu barrio hizo copias de todas las llaves de los autos de sus clientes, por las dudas de que necesite mover el auto.

Y después viene un ladrón, le roba las llaves, y roba los autos.

Yo creo que aparte de enojarte con el ladrón tenes que enojarte con el dueño del estacionamiento. Porque no tiene derecho a hacer una copia de tu llave. Y mucho menos sin tu consentimiento.

En el caso de los sitios web, las contraseñas no se guardan, se guarda solo información para verificar que la contraseña que vos le das es la adecuada. De esta forma, si pasa lo que pasó, los resultados no son tan graves.

Para agregar insulto al daño, el dueño del estacionamiento te manda una carta recordándote que uses llaves seguras y no llaves que sean fácilmente vulneradas. wtf?

@Ezequiel otra buena metáfora

con gran tristeza por lo de Geelbe, hay gente que labura y lleva el pan de cada dia a su mesa y es duro lo que paso.

Ahora tambien noto una gran hipocresia 2.0 de ciertos elitistas que casualmente criticaron un evento como el TED Buenos Aires y defienden lo indefendible en Geelbe, Geelbe en parte es culpable por no velar por la seguridad de sus clientes y ademas peor aun si el dueño tiene una empresa de seguridad y en ella se jacta de dar seguridad, osea algo falla.

Entiendo que a “seguro se lo llevaron preso” son cosas que pueden suceder pero hoy en dia es inaceptable tener las password en plain text ni en 1995 te lo acepto.

Lo que me parece raro es que los amigos de geelbe dicen que hay que apoyarlos, grippo sale con la gilada de decir la comunidad 2.0 ????????? cualquiera aca se trata de seguridad y si culpa de esto te entran a tu cuenta de banco, paypal, mail, etc el daño es mucho mas grave. Grippo es un tipo grande que con lo que dice parece un chico de 15 años.

El otro dia los mismos le daban a Arrieta por que le mando un mensaje privado a Vanesak en el que le agradecia la invitacion, hasta gif animados le hacian, pero claro como no van prendido en la torta critican pero cuando les pasa a ellos lloran.

Algo raro en mí… vine a opinar.

Pero veo que Sergio Berton ya dijo todo lo que yo quería decir, así que me voy silvando bajito…

Ezequiel :
Una mejor metáfora:
Es como si te enteraras que el dueño del estacionamiento de tu barrio hizo copias de todas las llaves de los autos de sus clientes, por las dudas de que necesite mover el auto.
Y después viene un ladrón, le roba las llaves, y roba los autos.

Exacto, excelente metáfora. Y decir que estaban “”"”encriptadas”"”" en Base64 es como decir “Pero estaban escondidas en un cajón de mi escritorio!!!”

Esteban :

Ezequiel :
Una mejor metáfora:
Es como si te enteraras que el dueño del estacionamiento de tu barrio hizo copias de todas las llaves de los autos de sus clientes, por las dudas de que necesite mover el auto.
Y después viene un ladrón, le roba las llaves, y roba los autos.

Exacto, excelente metáfora. Y decir que estaban “”””encriptadas”””” en Base64 es como decir “Pero estaban escondidas en un cajón de mi escritorio!!!”

Y para colmo, eso demuestra la poca instrucción en seguridad informática y aumenta la falta de credibilidad.

Coincido con lo que opina la mayoría, hubo una mala (pésima) política de seguridad con respecto al manejo de las contraseñas de los usuarios, eso no se discute. Como dijo Sergio en Twitter, si a mi me pasa algo así, seguro que al día siguiente soy un desempleado más, pero no es eso sobre lo que opinaba en el post, sino a la intencionalidad de los actos y dichos de varias personas (y algunos personajes) ante lo que pasó.
Y si se usa la misma clave para varios servicios el problema de seguridad está de los dos lados, más allá que el acceso sea vía geelbe.
Ojo, yo no defiendo a Geelbe, a mi también me deben haber leído la clave y datos personales, pero tampoco me parece justo pegarles tanto, lo de publicar las claves de los usuarios no nació de ellos sino de alguien que quiso escracharlos públicamente, aunque para eso bastaba con publicar solo las claves de los responsables de geelbe, dejando a los terceros afuera.
Recuerdo que ayer criticaron a Federico Piccone por publicar la url con la lista en su blog, diciendo que no sumaba nada, pero nada se dijo de quienes mandaban tweets del tipo “desencriptá las claves de Geelbe url-de-la-lista on-line en esta web url-sitio-para-desencriptar”, eso sí que no suma.
Repito, y ya lo dije en el post, la responsabilidad le cabe a quienes no tomaron las medidas de seguridad adecuadas para proteger los datos de sus usuarios, pero si alguien roba tus datos será culpa de quien los publicó y del que los utilizó sin autorización.
Volviendo a la analogía, que yo deje la puerta abierta no significa que cualquiera tenga derecho a entrar y sacarme el stereo, más allá que uno sea un gil por no poner el seguro.

La mía era segura

@Guty
Pasa que yo al menos opino como usuario y perjudicado, otros han hablado teniendo intereses en uno u otro sentido.

Nuestras críticas apuntan a la seguridad.

Si te olvidás de colocar cerrar es tu problema, ahora si cerrás pero la cerradura es mala de entrada, por más que el que te robe sea el malo (siempre lo es), esa parte para vos es inmanejable.

Lo que vos pudiste hacer lo hiciste, pero hubo alguien que simplemente te mintió.

Después aparecieron los salames de siempre tirando data, que si bien es accesible para cualquiera, empeoraba la situación.

Estamos todos de acuerdo que no se trató de hackers éticos, todo lo contrario, pero se la dejaron servida en bandeja…

@Guty
si dejás la puerta de TU auto abierta sos gil, si es la puerta de los autos de todos tus vecinos, es negligencia. Por lo demás, tenés razón.

Quizá se buscaba desacreditar a la empresa. Ahora pensemos, qué hubiera pasado si hubieran decidido vender las contraseñas? hay un mercado para eso. Y nadie se hubiera enterado hasta que fuera demasiado tarde.

Lo de tener una contraseña para cada sitio es cuestionable. Si, es lo ideal, pero pocas personas van a hacerlo porque representa un trabajo. No podes depender de eso. Sobre todo si la alternativa es mas que simple.

Pero hay algo que es peor en esta práctica de guardar la contraseña como texto, y es que significa que los programadores que usan no tienen la mas mínima idea en algo básico. Con lo cual pueden haber otros problemas dando vueltas (qué se yo que pasa cuando les doy mi info de tarjeta de crédito?). Perdón si alguien conoce a un empleado de la empresa, pero es así. Me parece que necesitan contratar a un especialista en seguridad en lugar de tratar de cubrir los daños con algunas mentiras.

¿Qué loco todo esto, no?
Ahora como hacés para convencer a alguien que tiene que seguir confiando en vos después de lo qué pasó? Si antes fallaron en contratar un programador con dos dedos de frente, ¿qué te hace pensar que ahora sí pudieron contratar que haga un mejor trabajo? ¿Cómo convencés a los usuarios que no guardás los datos de la tarjeta de crédito?
Más allá de esto, la actitud de Bercún al decir su #frasedeldía no hizo más que demostrar que es una persona que no piensa antes de hablar y más aún teniendo en cuenta lo sucedido. ¿Destacar la rápida respuesta o manera de proceder? Lo único que falta ahora es que tengamos que agradecerle a alguien por hacerse cargo de la cagada que se mandó y por arreglarla.
Es tu trabajo y punto. No hay nada que agradecerles.

@TiAGO

Quedó todo pegado como un sólo párrafo. Perdón. Guty, arreglame eso! Jajaja!

Muy buena charla por cierto!

Geelbe metió la pata, ponele…

…pero me van a decir que todo el que se queja de seguridad usa la misma password en todos los servicios de terceros?

usar la misma password en geelbe,tuiter, facebook, gmail y hotmail es de giles. Todo sitio web es susceptible de ser vulnerado (amazon lo sufrió, American Express perdió 8 millones de codigos de seguridad hace 1 año, etc) y si vos usás la misma llave para todo es porque sos un nabo.

ponele ;=)

Yo dejé mi cartera en tu auto, porque me prometiste que mi cartera estaría súper cuidada ahí. Pero ni te calentaste en cerrar la puerta (básico).
Obvio que los ladrones de autos existen, caso contrario no existirían las cerraduras. Y nadie defiende a los ladrones, pasa que VOS me prometiste que mi cartera iba a estar cuidada y dejaste la puerta abierta.

Como a vos hay gente que no te quiere mucho, y para colmo son BUCHONES, pusieron el cartelito diciendo que tu puerta estaba abierta.

Yo te quiero matar a vos por mentiroso y negligente, a los del cartelito porque no hay nada más feo que ser botón, y eventualmente a los chorros.

Para colmo, me venís a decir que si las llaves que estaban en la cartera abren más de una puerta la responsable soy yo… ¡TE MAAAATO!

En mi barrio todo esto hubiera terminado muy mal (para vos y para los del cartelito, para todo el bar).

Siguiendo con la metáfora, yo no me acordaba qué llaves tenía en esa cartera, por lo que tuve que cambiar TOOOODAS las cerraduras por las dudas. Un embole.

A todo esto, no dejo nada en tu auto nunca más, ni vuelvo a dirigirte la palabra.

Conocemos el refrán: la primera vez que me engañes es tu culpa, y la segunda la culpa es mía.

Es gracioso ver como la gente habla sin fundamentos, las claves estaban encriptadas con encode64 no estaban planas en la base de datos, y si, hackeos hay todo el tiempo.

Anonimo:

Encriptación: algorítmo que convierte un mensaje en un mensaje codificado y requiere una LLAVE para ser decodificado.

Hashing: un algorítmo que convierte un mensaje en un texto y no puede ser decodificado.

Codificación: un algorítmo que convierte la representación de un mensaje en una representación diferente. Se utiliza por razones técnicas (por ejemplo, como escribís un texto arbitrario solo usando caracteres estandard? ese problema lo resuelve base64)

base64 es un método de codificación, no de encriptación. Y encima lo que es correcto usar para los passwords es un método de hasheo, porque la empresa no tiene por que leer tus passwords bajo ninguna circunstancia.

Si, es gracioso ver como gente habla sin fundamentos.

apa! lindo quilombo ser armó :p
Mañana con tiempo leo mejor los comentarios… pero hasta que sergio no comentó no entendí un pomo xD