• Feed RSS
  • Feed Atom
  • 06
  • May
  • 2009
  • 20:57

¿Cómo se Hackeó la web del PP?

Por César Calderón

A continuación publicamos  el comentario que nos ha dejado el ciudadano que descubrió los errores de seguridad en la web del PP.

Creemos que es de suficiente interés -y lo bastante divertida- como para publicarla como post. La moraleja que debían grabarse a fuego los responsables de tecnológicos del PP es algo así como: “Nunca cabrees a un hacker” .

hacking

Hola a todos

Soy -pongamos- el Capitán Tan, líder de la ‘peligrosa banda de jakers’ responsable de este sindios. Y me gustaría, abusando de la amabilidad del webmaster, relatar nuestra versión de los hechos. Visto lo visto, la única certera.

Por partes, como el inglés aquel de las vivisecciones:

El Lunes de madrugada, se comentaba por los mentideros de la corte que la nueva página del PP tenía ‘agujeros’ (sic). Esto, para evitar suspicacias, confesaré que nos lo hizo llegar un buen amigo … del PP.

Ni se nos ocurrió echar un vistazo entonces, más que nada porque las webs de los partidos políticos suelen ser un muermo, y los forzamientos aburridísimos. Y, finalmente -como comenta muy certeramente este interviniente del blog- las consecuencias no suelen pasar de un leve rapapolvos.

Pero hete aquí que nos acordamos de este post de Calderón, en el que glosaba tales loas, que nos picó la curiosidad ¿Una página teóricamente tan bien diseñada tenía ‘agujeros’ (re-sic, que el palabro no es mío)? Vamos a verlo, pues.

El Martes (ayer), sobre las 9 de la mañana, en uno de esos momentos ociosos del día en el que no sabes si lo suyo habría sido quedarse en la cama, un compañero entró desde su máquina en popular.es, dio de alta una cuenta, y -atención, que esto es capital- quiso actualizar sus fotos. Misteriosamente, las fotos que le aparecieron para editar no eran las suyas, sino las del perfil que estaba consultando (en este caso, el de Marianico). Cielos, aquí pasaba algo raro.

Nos dedicamos entonces a dar de alta nuevos usuarios (bien es cierto que, para no desatar sospechas, utilizamos nombres de otras redes sociales peperas), y trasteamos entre nuestras cuentas recién creadas. La fiesta: desde las propias cuentas de usuarios, sin forzar clave alguna, ni utilizar otro software que no fuera el Safari, apreciamos que las cuentas de TODOS (si, si, la tuya también) los usuarios registrados en popular.es, eran completamente editables desde un usuario externo. Como digo, y recalco, limitándonos a jugar con los paths que nos devolvía la página. Ni software de hack, ni forzamientos, ni ná: a pelo.

Desde un par de cafeterías del Barrio de Salamanca (por aquello del cafelito, ojo, que nuestras ips son más falsas que Judas) iniciamos el testeo (si, ese que deberían haber hecho los responsables). La fiesta de nuevo: la página sencillamente se volvía loca con el inicio de sesiones, las cookies y los usuarios.

Nos limitamos a mostrar entonces lo que se podía hacer, sin modificar absolutamente nada salvo hacer público el correo de una de las cuentas (el de Mayor Oreja -que, por cierto, sigue allí-). Nada más. Y le enviamos las capturas a Calderón.

Y nos habríamos quedado aquí, de no ser por la absurda, cerril y FALSA versión de las gentes de Prensa del PP que, enrocados, sostuvieron que no existía error alguno y que, de existir, había sido solventado el Lunes. Que las capturas se habían realizado con Photoshop, y que, en esencia, tanto Calderón, como nosotros mismos, eramos unos falsarios ¿Coooomooorrrlll? Eso no me lo dice usté en la calle, oiga.

Entonces volvimos a entrar y, oh sorpresa, la web seguía exactamente igual, abierta y accesible como lo estuvo por la mañana. Y eso que bien se emplearon los responsables en seguirnos. Tiempo que, estimamos, deberían haber dedicado a tapar los evidentes agujeros, en lugar de bloquearnos los usuarios o tratar de tracearnos.

Y, como la mentira tiene las piernas muy cortas, esta vez sí fuimos un poco más allá, y borrramos las fotos de la cuenta de Ana Mato (unas diezo asín)), grabando la acción para que no quedaran dudas. Lo hicimos desde una de nuestras cuentas creadas, sin forzar clave alguna, y por el mismo procedimiento que habíamos empleado hasta entonces: nos conectamos a la página a través del Safari, y cambiamos el path que devolvía. Y de nuevo podíamos editar.

La reacción de los responsables de la web consistió en bloquearnos las cuentas, y borrar la cuenta de la Ana Mato (supongo, para seguir sosteniendo su falaz argumento de ‘aquí no pasa nada’).

Y nada más.

Concluyendo: ni hacking, ni cracking, ni leching. Usamos las capacidades de edición que, amablemente, nos ofrecía la propia página. No publicamos datos personales, no forzamos nada y no destruimos nada, más allá de las ocho fotos aquellas. Por cierto, si quieren, las volvemos a subir ;-)

Como suele ocurrir con estas cosas en la vida, fue necesario un poco de inspiración, otro tanto de transpiración y, sobre todo, mucha suerte. Vamos, que si la manzana no llega a darnos en la cabeza, jamás habríamos podido hacer lo que hicimos. El error era aleatorio, y habría bastado un poco más de cariño por parte de los diseñadores para corregirlo.

Y, sobre todo, más sinceridad a la hora de admitir lo que era groseramente evidente, dejando por mentirosos a nosotros, a El País y al mismo Calderón.

End Of File

VN:F [1.6.1_878]
Rating: 4.9/5 (15 votes cast)
VN:F [1.6.1_878]
Rating: 0 (from 0 votes)
  • del.icio.us
  • Wikio
  • Facebook
  • Google Bookmarks
  • MySpace
  • Technorati
  • Bitacoras.com
  • Twitter

Posts relacionados:

  1. El hackeo de la web del PP ( y 2) : La chapuza continúa
  2. Como seguir las primarias en Twitter
  3. Como reventar una campaña infame
  4. Dave Sifry dimite como CEO de Technorati
  5. ¿Como somos los usuarios de Blackberry y Iphone ?
Publicado por César Calderón el 06 de Mayo de 2009 a las 20:57, archivado en It's Technology, stupid y etiquetado como , , . Enlace permanente a este post. Sigue los comentarios en el feed RSS para este post. Deja un comentario o haz trackback a este post: Trackback URL.

8 Comentarios

  1. Albert Medrán
    Publicado el 06 de Mayo de 2009 a las 21:17 | Enlace permanente

    Si es que en las crisis, por pequeñas que sean, hay que reaccionar diciendo siempre la verdad!

    VA:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  2. Pablo Terol
    Publicado el 06 de Mayo de 2009 a las 21:58 | Enlace permanente

    Me muero de la risa, este tipo es un genio!!!

    No solo ha destrozado el lavado de cada del PP en internet sino que ademas escribe bien!!!

    Fíchelo, Don César!!!

    VA:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  3. César Calderón
    Publicado el 06 de Mayo de 2009 a las 22:21 | Enlace permanente

    Oiga, don Hacker, que dicen las masas que lo fiche, ¿tiene usted contrato en vigor con algun club?

    VN:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  4. Beatriz
    Publicado el 06 de Mayo de 2009 a las 23:08 | Enlace permanente

    Capitan Tan… :-)

    ¡Tremendo!

    VA:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  5. Jofre EMBUN
    Publicado el 06 de Mayo de 2009 a las 23:34 | Enlace permanente

    buff despues del chelsi entro y enceuentro este genial post
    me encantas las historias de hackers malosos xD

    VN:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  6. Jofre EMBUN
    Publicado el 06 de Mayo de 2009 a las 23:35 | Enlace permanente

    buff después del chelsi entro y encuentro este genial post
    me encantas las historias de hackers malosos xD

    VN:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  7. Caballero ZP
    Publicado el 08 de Mayo de 2009 a las 19:55 | Enlace permanente

    Es bastante esclarecedor que solo publiques los votos del PP y no los del PSOE, mas cuando el PSOE es el artífice del Canon, intentó darle el poder de cortar la conexión a la SGAE, etc., etc.
    Ni defiendo a los miembros del PP que han votado a favor, pero no quieras manipular, o hay que recordarte lo de la cartita de la Bardem.

    VA:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.6.1_878]
    Rating: 0 (from 0 votes)
  8. César Calderón
    Publicado el 09 de Mayo de 2009 a las 00:56 | Enlace permanente

    Los votos de los diputados del PSOE los tienes en la recopilación recogida por la quadrature du net, pero si no quieres buscarlos te adelanto el resultado: Todos a favor de la enmienda 138, es decir, todos a favor de los derechos y libertades en la red.

    Insisto, todos, en bloque, al igual que liberales, ecologistas e izquierdas diversas.

    Los que dividieron lamentablemente su voto culposamente fueron los del PP, y una más por si quedan dudas, Pilar del Castillo (PP) fue una de las ponentes del informE Trauttman y una de las más beligerantes.

    infórmese antes de escribir falsedades.

    VN:F [1.6.1_878]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.6.1_878]
    Rating: 0 (from 0 votes)

Deja un comentario

Tu email no será nunca revelado a terceros. Los campos marcados con * son obligatorios.

*
*
« Back to text comment

Additional comments powered by BackType