Todos los datos de donadores en la Teletón Colombia 2013 expuestos!

Teletón Colombia 2013 ha causado mucho revuelo en las redes sociales, los simpatizantes y opositores de este tipo de iniciativas han utilizado estas redes para expresarse a favor o en contra de la Teletón Colombia 2013 lo que ha conseguido que sea una tendencia en redes como Twitter y Facebook.

Teletón

Precisamente por esos medios y específicamente por el Fanpage de ColHackers (quienes junto a R4lph & r00tr3d se atribuyen la autoría) me acabo de enterar que la base de datos de teleton.org.co donde las personas podían realizar donativos en línea para las causas que apoyaba la Teletón Colombia 2013 ha sido comprometida y se ha expuesto una gran cantidad de datos como “prueba” de lo sucedido.

La base de datos expuesta en el sitio http://r4lph-is-here.tk/XXXX/teleton.html (mirror) no esta completa, pero contiene información suficiente (por ejemplo hash de las claves de los administradores del sitio) como para comprobar que efectivamente el sitio teleton.org.co fue comprometido y mas importante aún, los datos de miles de colombianos andan en manos de algunos círculos privados en la red.

Database TELETON Dump-1

En la muestra expuesta de la base de datos de Teletón Colombia 2013 destacan varios elementos como por ejemplo, que muchos usuarios aparecen con donación de 0 pesos, aunque varios usuarios en twitter me expresaban su preocupación por un incidente de fraude, yo quiero pensar que se trata de negligencia a la hora de realizar el sitio y no poner las medidas necesarias para evitar ese tipo de incidentes, lo cual me hace preguntarme …. ¿como es posible que en una pagina pensada para recaudar mas de 10.000.000.000 millones de pesos sea publicada sin una adecuada auditoria de seguridad?

Esta noticia aún se encuentra en desarrollo, seguramente no será expuesta en los medios de telecomunicaciones tradicionales, ya que ellos son los principales promotores de la Teletón Colombia 2013, pero es necesario que esta información sea difundida para que siente un precedente y cosas tan penosas para nuestro país como lo que acaba de pasar, por que lastimosamente se esta volviendo “tradición” con cada edición de este evento

Actualizado 10/03/2013:
Cuando anuncié que tras 24 horas del incidente ningún medio de comunicación nacional se ha expresado respecto a este incidente, recibí una comentario del amigo Matías Katz vía Twitter que decía “no entiendo porque leakear los datos de los contribuyentes, son victimas y no los culpables”, una apreciación acertada que desde el punto de vista de nuestro amigo argentino responde a la pregunta que seguramente muchos de nuestros lectores se están haciendo, ¿si ya son víctimas por que aumentar su “pena” difundiendo la noticia?, es normal que se realicen esa pregunta, yo mismo me la hice antes de escribir esta entrada en el blog y tomé la determinación de hacerlo por los siguientes motivos:

  • La teletón, independiente de si es un evento para buenas causas o escusas para pagar impuestos con dinero de “gente con buen corazón , es un evento privado, realizado e impulsado principalmente por los grandes medios de comunicación colombianos y ellos no publicarían voluntariamente una noticia que pueda perjudicarlos, a no ser que llegue a difundirse lo suficiente como para no poder ocultarlo y tener que admitirlo.
  • Como sabemos que en ningún medio que apoye la teletón se publicará esta noticia, la posibilidad de que las víctimas se enteren que SON VICTIMAS, se reduce si no se hace una adecuada difusión del tema y las buenas personas que apoyaron esta causa no podrán exigir por el mal manejo que han realizado con su información.
  • ¿Mal manejo? ¿acaso teletón tiene la culpa?…. yo hablo de mal manejo y negligencia básicamente por 2 factores:
    – Conocimiento de Causa, el año pasado el sitio de la teletón 2012 fue atacado, en esa ocasión no se publicaron datos de los donantes, pero esto dejó claro que el evento como tal era considerado un objetivo por grupos hacktivistas.
    – Sabiendo que el sitio se utilizaría para recaudar parte de los 10.000.000.000 COP que tenían como meta para este año (los ceros están correctos), publicarlo sin hacer un adecuado análisis de seguridad, que cualquiera de las muchas empresas de seguridad colombianas realizaría por menos del 1% del valor que esperaban recibir y a sabiendas de lo sucedido en su versión anterior, no es más que NEGLIGENCIA.

Poco a poco la gente se ha ido enterando del incidente, algunos dicen estar preparando una denuncia formal contra el teletón, otros simplemente lo ven como una curiosidad desde su puesto de espectadores, pero al ver la acogida que ha tenido esta entrada y saber las reacciones de las personas en las diferentes redes sociales, yo me ratifico en que publicar la nota fue una decisión acertada.

Actualizado 11/03/2013:
La primera publicación en un medio masivo de comunicación que ha salido sobre el #Leaketón es un articulo en la revista ENTER.CO (mirror) donde la periodista Éricka Duarte Roa afirman que se comunicó  con Jorge Mutis, un directivo de Teletón y este con la frase “No fuimos hackeados, todo está en orden” negaba la filtración de información de los donantes en la teletón, la verdad desconozco los conocimientos técnicos que tenga el señor mutis (no tiene pinta de ser un entendido en estos temas), o si entiende que el hecho que publicaran información de la teletón no necesariamente va asociado a tener el índex de la pagina con fondo negro y algún mensaje de un grupo hacktivista, pero con sus afirmaciones ENTER.co llama mentirosos a muchas personas, incluyendo a los miembros de esta comunidad. Con lo que no contaba el señor mutis es que el amigo Mr.Pack del grupo r00tc0d3rs, publicó una nota titulada “Data Exposure – Teletón Colombia”, donde no solo confirma varios fallos de seguridad que tenia el sitio de la Teletón Colombia 2013, sino que también afirma haber notificado al personal de la teleton por medio de su cuenta en twitter (@TeletonColombia)

XSS Encontrado en teleton.org.co y reportado a @TeletonColombia por @_Mrpack

(click para ampliar)

SQL Injection Encontrado en teleton.org.co y reportado a @TeletonColombia por @_Mrpack

(click para ampliar)

Mensajes enviados a @TeletonColombia por @_Mrpack para reportar los fallos

@_Mrpack dice en su post “Esto fue en el transcurso de la 1:00 am del día sábado, me voy a dormir pensando que hice mi buena labor del día …. despertando a las 10:00 am me dar por asegurarme de que se haya corregido lo ya comentado y NO !! nada seguían sin parchear las vulnerabilidades”

Nosotros tenemos un profundo respeto por nuestros lectores y no les mentiríamos intencionalmente NUNCA, pero no quiero ser yo quien determine quien esta mintiendo realmente, solo quiero que comparen la información aportada en esta nota, con evidencias solidas, contra el articulo de Éricka Duarte Roa sobre lo sucedido con la teletón y juzguen ustedes mismos quien miente realmente a sus lectores.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Pingback: Bitacoras.com()

  • Teleton o Robaton
    Grandes Colombia Hackers 🙂

  • Edison Yepes

    Muy buen trabajo muchachos 😉

  • Andrey

    Me parece una estupidez la supuesta violación de seguridad:
    1- si ven el formulario de donación, no va ningún nombre, ni email ni dirección. Las donaciones son anónimas.
    2- Si intentan donar, se darán cuenta que los datos de email, dirección, tel, etc. se piden en el sitio de pagos, no en el sitio de Teleton.
    3- Las donaciones por sitio web fueron más de 5000, la supuesta base de datos no pasa de 200 registros.

    Poco serio difamar un evento que bien sea o no capitalista, busca ayudar a personas que lo necesitan.

    • linaS

      “busca ayudar a presonas que lo necesitan” me imagino que te refieres a los medios de comunicación masiva como caracol y rcn, a empresas millonarias como homcenter, falabella y bancolombia, si OBVIO son personas que en realidad lo necesitan; ellos necesitan deducir los impuestos y por ello roban a le gente engañandola y mintiendo a cerca de las “donaciones que son para suplir las necesidades de las personas más vulnerables de Colombia” AQUI EL UNICO ROBO QUE HAY DENUNCIAR ES EL QUE SE LE HACE A LAS TANTAS PERSONAS QUE DONARON.

      • Andrey

        En la mayoría de paises del mundo, obras sociales reducen impuestos, no solo en Colombia. Yo no estoy de acuerdo con la teleton, hay mejores formas de ayudar sin usar la desgracia humana como allí lo hacen. Solo que la acción de hacking esta sobrevalorada.

  • anonimo

    a mi no me parece correcto lo que hicieron, más bien lo hicieron como causa personal y grandes hackers no son, los hackers son aquellos que luchas por ideales correctos…

  • Luis
  • se que muchos están molestos con lo sucedido, de el ¿ por que hacer una publicación sobre esto ? – ¿por qué publicaron nuestros datos en la red ? – ¿si son datos reales?…. aquí la pregunta que vale la pena hacernos es la siguiente :

    ¿y si en vez de mostrar que la web es insegura, se hubiesen aprovechado de eso para redirigir el sitio a la hora de realizar la donación para que los montos donados fuesen a dar a otra cuenta con otros destinos e intenciones ?

    esa es la pregunta que cada uno debe hacerse, por lo menos esperemos que no haya sido así y que sus dineros donados hayan llegado a su destino.

    creo que en vez de criticar estas noticias deberíamos de preocuparnos por que nos brinden unos servicios seguros en internet. (es mi pensamiento).

    salu2

  • anonimo

    DragonJar, usted con qué moral exije a los de Teleton Colombia y a EnterCo que no lo traten de mentiroso por haber informado en su sitio Web acerca del hackeo?

    Cuando usted hizo exactamente lo mismo, y fue negar cuando le hackearon su portal Web en donde fue expuesta una Base de Datos con mas de 10mil personas que trabajan en la seguridad informatica a nivel latinoamericano.

    Y hasta la fecha usted no ha dado ninguna explicación ni aclaración de lo acontecido ni tampoco ha aclarado ¿porqué usted tenía ese tipo de información en su sitio? ¿O es que ya se le olvidó?

    Cuando usted diga la verdad de lo que pasó, entonces si exija respecto y que no lo tilden de mentiroso, en caso, contrario, lo mejor es que se quede callado, y deje de juzgar las decisiones de los demás.

    Link de la nota del hackeo al portal de dragonjar
    http://blog.segu-info.com.ar/2012/09/deface-y-robo-de-informacion-al-sitio.html

    • Buen día anónimo, te respondo entre líneas para no perder el hilo del tema:

      >> DragonJar, usted con qué moral exije a los de Teleton Colombia y a EnterCo que no lo traten de mentiroso por haber informado en su sitio Web acerca del hackeo?
      >>
      >> Cuando usted hizo exactamente lo mismo, y fue negar cuando le hackearon su portal Web en donde fue expuesta una Base de Datos con mas de 10mil personas que trabajan en la seguridad informática a nivel latinoamericano.

      Anónimo, creo que estas haciendo acusaciones sin conocimiento de causa, por que lo primero que hice cuando pude restablecer el portal fue anunciar públicamente a nuestros visitantes de lo sucedido http://www.dragonjar.org/nos-ha-pasado.xhtml

      >> Y hasta la fecha usted no ha dado ninguna explicación ni aclaración de lo acontecido ni tampoco ha aclarado ¿porqué usted tenía ese tipo de información en su sitio? ¿O es que ya se le olvidó?
      >>
      >> Cuando usted diga la verdad de lo que pasó, entonces si exija respecto y que no lo tilden de mentiroso, en caso, contrario, lo mejor es que se quede callado, y deje de juzgar las decisiones de los demás.

      La base de datos de los profesionales que mencionas anteriormente, fue publicada JUNTO al defacement, para causar un impacto mediático, mas no fue extraído de nuestros servidores, tal y como explicamos el mismo día de lo sucedido en http://www.dragonjar.org/aclaracion-base-de-datos.xhtml

      Muchos son los que han tenido incidentes de seguridad, incluyendo empresas de seguridad reconocidas en nuestro país, pero pocos son los que han tenido pantalones de aceptarlos y poner la cara, aquí siempre hemos respondido a nuestros lectores y con esa moral es que exijo a teletón Colombia que haga lo mismo.

      gracias por tu comentario “anónimo”

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES