Hace algunas horas lograron acceder a la base de datos de Geelbe, un club privado de compras por internet, el atacante hizo pública la información de acceso a 460 cuentas, publicando en un blog el correo y la contraseña utilizada por los usuarios.
La información es real y permite ingresar a los paneles de geelbe.com, uno de los mayores problemas es que si se utiliza la misma contraseña en otros servicios (Facebook, Twitter, etc), las cuentas están vulnerables.
Si eres usuario de Geelbe o en algún momento intentaste suscribirte, debes cambiar tus contraseñas!
De momento no hay noticias por parte de Geelbe, el sitio actualmente está en mantenimiento y están trabajando en el problema. Unas 15 horas después, ya funciona y han publicado un comunicado en su blog oficial.
Más allá del fallo de seguridad, el hecho demuestra claramente la importancia de utilizar diferentes passwords para cada servicio, pues si se utiliza siempre el mismo, te roban uno y te roban todos.
Gracias @NeriAispuro (tengoun.com.ar) por el aviso!
Más información: Denken Über
Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)
Ya publicaron un comunicado oficial en el blog de Geelbe.
Habrá que esperar las explicaciones oficiales del caso, creo que eso será fundamental para recuperar la confianza perdida.
Eso pasa por dejar desarrollar aplicaciones que requieren un mínimo de seguridad a aficionados que hacen un cursillo de programacion.
Cutres!
Es como tu dijiste me dijiste una vez Jorge, lo sitios seguros no te envían el pass, te lo resetean y te envían otro, porque no lo tienen :)
Algunos números interesantes de Geelbe, en el blog del fundador. Yo al menos no conocía este servicio, aunque veo que en Argentina sí era bastante conocido.
Link: (actualizado, la página fue eliminada).
Igualmente ahora que miraba la lista de contraseñas pensaba que los geel estos la embarraron fiero o quedaron bastante al descubierto, porque hay formas de almacenar contraseñas sin que exista un retorno de la encriptación, por más que robes la base (o ellos, programadores, dbadmin, admin hosting, chusmeen la base) no puedan conocer la contraseña.
No es complejo de hacer y merece la pena sobre todo porque es un sitio que maneja ecommerce.
Ah, esa no la busqué pero gracias por la idea :D jaja.
Te falto poner la password de Neri :)