18 marzo 2009

La curiosidad mató a Comcast

En la sección de negocio, innovación, tecnología y sociedad del blog del New York Times se hacen eco de una noticia en la que se dan lugar ciertos hechos que hemos comentado varias veces en Security By Default.
En primer lugar, un nombre importante, digamos por ejemplo Comcast, la compañía lider en telecomunicaciones de EE.UU, que proporciona televisión e internet a un gran número de estadounidenses. No perdáis este nombre, que después le añadiremos verbo y complementos.
En segundo lugar, nos da la curiosidad después de leer un artículo que trata el tema de nuestra confidencialidad, o ausencia de ella mejor dicho, y queremos saber lo que el resto del mundo podría saber de nosotros. Utilicemos, en tercer lugar, un servicio de internet, relacionado con identidades, con el que dado un nombre y apellidos obtenemos ocurrencias en múltiples sitios. Por ejemplo, pipl. Seguidamente, nos damos cuenta que aparecemos en varios lugares, entre ellos, el youtube de los documentos, como lo definían en genbeta hace un par de años, Scribd. La cosa no acaba ahí, no es que aparezcan sólo nuestros nombres y apellidos...el problema es que también aparece nuestra contraseña, que para más inri, es la que usamos para todo. Esta información no venía sola: con ella, un listado de 7999 lineas más de ese mismo estilo, pero con otras personas. Era un listado de 8.000 nombres de usuarios y contraseñas de Comcast.
Esto es lo que se encontró un profesor de universidad especialista en tecnología (que no en contraseñas por lo que parece...), en el que raudo y veloz se dispuso a notificar este hecho a Comcast, al F.B.I. y a Scribd, que rápidamente eliminó el documento, que había sido visto ya por más de 340 personas y descargado por otras 27.
¿Intrusión en Comcast? Poco probable. ¿Publicación por parte de algún empleado de la compañía? Quizás. ¿Phishing en Comcast? Personalmente, creo que tenemos ganador, aunque la propia victima, recordemos de nuevo, especialista en tecnología con la misma contraseña para todo, diga que no recuerda haber sido víctima de un phishing. Comcast como no, ha hablado sobre el tema, y aquí llegamos a otro hecho que se repite mucho en este tipo de incidentes cuando la compañía da la cara...no un momento, en eso consiste, al final no dan la cara... resumiendo, declaran y cito NO textualmente: "¿8000? no hombre no, unos 700, al resto no les hagáis caso que ya no son clientes".