Todos los datos de donadores en la Teletón Colombia 2013 expuestos!

Teletón Colombia 2013 ha causado mucho revuelo en las redes sociales, los simpatizantes y opositores de este tipo de iniciativas han utilizado estas redes para expresarse a favor o en contra de la Teletón Colombia 2013 lo que ha conseguido que sea una tendencia en redes como Twitter y Facebook.

Teletón

Precisamente por esos medios y específicamente por el Fanpage de ColHackers (quienes junto a R4lph & r00tr3d se atribuyen la autoría) me acabo de enterar que la base de datos de teleton.org.co donde las personas podían realizar donativos en línea para las causas que apoyaba la Teletón Colombia 2013 ha sido comprometida y se ha expuesto una gran cantidad de datos como "prueba" de lo sucedido.

La base de datos expuesta en el sitio http://r4lph-is-here.tk/XXXX/teleton.html (mirror) no esta completa, pero contiene información suficiente (por ejemplo hash de las claves de los administradores del sitio) como para comprobar que efectivamente el sitio teleton.org.co fue comprometido y mas importante aún, los datos de miles de colombianos andan en manos de algunos círculos privados en la red.

Database TELETON Dump-1

En la muestra expuesta de la base de datos de Teletón Colombia 2013 destacan varios elementos como por ejemplo, que muchos usuarios aparecen con donación de 0 pesos, aunque varios usuarios en twitter me expresaban su preocupación por un incidente de fraude, yo quiero pensar que se trata de negligencia a la hora de realizar el sitio y no poner las medidas necesarias para evitar ese tipo de incidentes, lo cual me hace preguntarme .... ¿como es posible que en una pagina pensada para recaudar mas de 10.000.000.000 millones de pesos sea publicada sin una adecuada auditoria de seguridad?

Esta noticia aún se encuentra en desarrollo, seguramente no será expuesta en los medios de telecomunicaciones tradicionales, ya que ellos son los principales promotores de la Teletón Colombia 2013, pero es necesario que esta información sea difundida para que siente un precedente y cosas tan penosas para nuestro país como lo que acaba de pasar, por que lastimosamente se esta volviendo "tradición" con cada edición de este evento...

Actualizado 10/03/2013:
Cuando anuncié que tras 24 horas del incidente ningún medio de comunicación nacional se ha expresado respecto a este incidente, recibí una comentario del amigo Matías Katz vía Twitter que decía "no entiendo porque leakear los datos de los contribuyentes, son victimas y no los culpables", una apreciación acertada que desde el punto de vista de nuestro amigo argentino responde a la pregunta que seguramente muchos de nuestros lectores se están haciendo, ¿si ya son víctimas por que aumentar su "pena" difundiendo la noticia?, es normal que se realicen esa pregunta, yo mismo me la hice antes de escribir esta entrada en el blog y tomé la determinación de hacerlo por los siguientes motivos:

  • La teletón, independiente de si es un evento para buenas causas o escusas para pagar impuestos con dinero de "gente con buen corazón , es un evento privado, realizado e impulsado principalmente por los grandes medios de comunicación colombianos y ellos no publicarían voluntariamente una noticia que pueda perjudicarlos, a no ser que llegue a difundirse lo suficiente como para no poder ocultarlo y tener que admitirlo.
  • Como sabemos que en ningún medio que apoye la teletón se publicará esta noticia, la posibilidad de que las víctimas se enteren que SON VICTIMAS, se reduce si no se hace una adecuada difusión del tema y las buenas personas que apoyaron esta causa no podrán exigir por el mal manejo que han realizado con su información.
  • ¿Mal manejo? ¿acaso teletón tiene la culpa?.... yo hablo de mal manejo y negligencia básicamente por 2 factores:
    - Conocimiento de Causa, el año pasado el sitio de la teletón 2012 fue atacado, en esa ocasión no se publicaron datos de los donantes, pero esto dejó claro que el evento como tal era considerado un objetivo por grupos hacktivistas.
    - Sabiendo que el sitio se utilizaría para recaudar parte de los 10.000.000.000 COP que tenían como meta para este año (los ceros están correctos), publicarlo sin hacer un adecuado análisis de seguridad, que cualquiera de las muchas empresas de seguridad colombianas realizaría por menos del 1% del valor que esperaban recibir y a sabiendas de lo sucedido en su versión anterior, no es más que NEGLIGENCIA.

Poco a poco la gente se ha ido enterando del incidente, algunos dicen estar preparando una denuncia formal contra el teletón, otros simplemente lo ven como una curiosidad desde su puesto de espectadores, pero al ver la acogida que ha tenido esta entrada y saber las reacciones de las personas en las diferentes redes sociales, yo me ratifico en que publicar la nota fue una decisión acertada.

Actualizado 11/03/2013:
La primera publicación en un medio masivo de comunicación que ha salido sobre el #Leaketón es un articulo en la revista ENTER.CO (mirror) donde la periodista Éricka Duarte Roa afirman que se comunicó  con Jorge Mutis, un directivo de Teletón y este con la frase “No fuimos hackeados, todo está en orden” negaba la filtración de información de los donantes en la teletón, la verdad desconozco los conocimientos técnicos que tenga el señor mutis (no tiene pinta de ser un entendido en estos temas), o si entiende que el hecho que publicaran información de la teletón no necesariamente va asociado a tener el índex de la pagina con fondo negro y algún mensaje de un grupo hacktivista, pero con sus afirmaciones ENTER.co llama mentirosos a muchas personas, incluyendo a los miembros de esta comunidad. Con lo que no contaba el señor mutis es que el amigo Mr.Pack del grupo r00tc0d3rs, publicó una nota titulada "Data Exposure – Teletón Colombia", donde no solo confirma varios fallos de seguridad que tenia el sitio de la Teletón Colombia 2013, sino que también afirma haber notificado al personal de la teleton por medio de su cuenta en twitter (@TeletonColombia)

XSS Encontrado en teleton.org.co y reportado a @TeletonColombia por @_Mrpack

(click para ampliar)

SQL Injection Encontrado en teleton.org.co y reportado a @TeletonColombia por @_Mrpack

(click para ampliar)

Mensajes enviados a @TeletonColombia por @_Mrpack para reportar los fallos

@_Mrpack dice en su post "Esto fue en el transcurso de la 1:00 am del día sábado, me voy a dormir pensando que hice mi buena labor del día …. despertando a las 10:00 am me dar por asegurarme de que se haya corregido lo ya comentado y NO !! nada seguían sin parchear las vulnerabilidades"

Nosotros tenemos un profundo respeto por nuestros lectores y no les mentiríamos intencionalmente NUNCA, pero no quiero ser yo quien determine quien esta mintiendo realmente, solo quiero que comparen la información aportada en esta nota, con evidencias solidas, contra el articulo de Éricka Duarte Roa sobre lo sucedido con la teletón y juzguen ustedes mismos quien miente realmente a sus lectores.

Subir