Comments on: Geelbe hackeado y el problema de las claves únicas

By: Penny

Penny — Fri, 09 Apr 2010 18:41:20 +0000

de hecho es “inversamente” proporcional…

By: Matias Perrone

Matias Perrone — Sat, 03 Apr 2010 04:56:37 +0000

Yo también soy Analista de Sistemas, y la falta de uso de hashing para el recupero de la clave es algo común, pero que da a desconfiar, como sabés que algún empleado enojado no puede hacer “volar” varias cuentas sólo para vengarse, es claro que la seguridad juega un rol importante y la clave no debería poderse recuperar fácilmente, y claro que base64 es una encriptación MUY, pero muy pobre, es mejor que texto plano pero es pobre, ya que no se requiere una clave maestra de desencriptación.

Me deja un poco desconfiado, ¿Ahora que pusieron “más” seguridad que quiere decir que existe esta clave “maestra”? ¿Y quien tiene acceso?…

El hash sha1, o en una menor medida MD5 solucionan el problema, y claro cuando alguien olvida la clave hay que generar una nueva y reenviarla por correo.

En fin me deja desconfiando.
Saludos

By: Jorge Grippo

Jorge Grippo — Thu, 25 Mar 2010 23:02:39 +0000

No quería dejar pasar de largo esto:

Aplaudo de pie a @amartino

Lo aplaudo por la forma en que alertó a toda la gente que pudo para amortiguar el daño.

Lo aplaudo de pie luego de pensar en las implicancias de la siguiente pregunta: “¿y si tuviéramos coberturas de noticias generales, las antes llamadas periodismo, de este tipo, no estaría bueno?”. Estaría buenísimo contar con noticias en el mainstream con el estilo @amartino.

By: Mario Risco

Mario Risco — Thu, 25 Mar 2010 16:27:02 +0000

En el comunicado oficial dedican la mitad del espacio a los consejos para elección de tus contraseñas, cuando el error de seguridad fue de ellos!

Lamentable. Los 70000 usuarios registrados, las inversiones y las marcas que exponen sus productos en el sitio les quedan demasiado grandes.

Geelbe es puro PR. Por lo pronto voy a desactivar mi cuenta.

By: Mario Risco

Mario Risco — Thu, 25 Mar 2010 13:47:25 +0000

Geelbe, Estudio Bercun, GDI Group, VU Security (qué ironía), Likexo y sigue la lista de emprendimientos en los que participa Gastón Bercún… Parece que es cierto que el que mucho abarca poco aprieta.

By: Jseba

Jseba — Thu, 25 Mar 2010 13:27:04 +0000

Me podrian enviar una invitacion por favor. Me quiero registrar! gracias y felicitaciones por el blog!

By: Gustavo

Gustavo — Thu, 25 Mar 2010 12:46:23 +0000

Entonces como abogado, sabrás que los usuarios sufrieron daños y perjuicios por parte de Geelbe. Además, al estar en Base64, no es ni siquiera cumplir con lo básico de seguridad, ni hablar de estándares.

By: Gustavo

Gustavo — Thu, 25 Mar 2010 12:39:53 +0000

Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)

By: Angel

Angel — Thu, 25 Mar 2010 12:24:34 +0000

@Leandro Gonzalez Frea: Como programador con 10 a~nos de experiencia te puedo decir que utilizar base64 para guardar un password en la base de datos es negligencia.

Por otro lado el comunicado que dieron hoy en el blog de Geelbe me transmite mucha mas calma que el que dieron ayer: http://blog.geelbe.com/ar/2010/03/24/nuevamente-en-linea/comment-page-1/#comment-589

En el mismo aclaran que dichos errores fueron corregidos hace tiempo, mucho tiempo, y que lo que se vio era el parte de la base de datos en la beta privada del sitio, hace ya un tiempo.

Si bien no haría algo así ni en primera instancia, puedo entender que en una versión muy vieja del sitio hallan existido agujeros de seguridad y fallas del dise~no como las que hablamos ayer (las betas se hacen para detectar y corregir eso justamente), y también es cierto que los usuarios cuyos passwords fueron expuestos son conocidos en el ambiente y proclives a haber participado en una primera beta cerrada (Se hablo de 70.000 usuarios, pero solamente se expusieron 461), si a eso sumamos que no hay razón para no creerle a la gente que hace Geelbe creo que es el pie necesario para empezar a recobrar la confianza en la capacidad tecnica de quienes hacen sitio, obviamente habra que trabajar mucho, pero nada es imposible.

By: leandro Gonzalez Frea

leandro Gonzalez Frea — Thu, 25 Mar 2010 06:47:02 +0000

He leido algunos comentarios, y desde mi punto de vista como abogado en derecho informático, puedo afirmar que como todos saben hasta algunos los mejores sitios del mundo han sufrido algún ataque informático. Gastón Bercún es uno de los referentes en Argentina en este campo, y estoy convencido de que Geelbe ha tomado las medidas de seguridad informática que recomiendan los estandares. Gente, cualquier sitio puede sufrir un ataque informático en cualquier momento, y eso NO quiere decir que el equipo de programadores del sitio sea negligente, a cual quiera le puede llegar a pasar, nadie esta exento ni tiene una garantia de inviolabilidad del sistema eterna y al 100%, asi como también violan la seguridad de un banco. Lo importante es dar la cara, y solucionar el problema a los usuarios en forma inmediata, y creo que tanto Gastón como la gente de Geelbe han detectado el error y respondido rapidamente. Es solo mi observación personal. Saludos.