Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/09/2012
Científic descobrix 100,000 contrasenyes exposades en lloc d'IEEE
Radu Dragusin, científic de la computació de FindZebra i professor adjunt de la Universitat de Copenhage, va descobrir que un servidor de l’Institut d’Enginyeria en Elèctrica i Electrònica (IEEE per les seues sigles en anglés) posseïa al voltant de 100.000 noms d’usuari i contrasenyes emmagatzemades en text pla i accessibles al públic en general.
Entre la informació compromesa es troben empleats d'Apple, Google, IBM, Oracle i Samsung, així com investigadors de la NASA, la Universitat d'Stanford, entre altres organitzacions i institucions.
Segons Dragusin, l'error més important i més simple per part dels administradors del lloc web de l'IEEE va ser que no van restringir l'accés als registres del seu servidor web, la qual cosa permetia que estos pogueren ser vistos per qualsevol.
"Els registres del servidor web mai no han d'estar a disposició del públic, ja que generalment contenen informació que pot ser utilitzada per a identificar els usuaris. No obstant això, en este cas és molt pitjor, ja que 411,308 dels registres d'entrada contenen noms d'usuari i contrasenya. D'estos pareix que hi ha 99,979 noms d'usuari únics", va escriure Dragusin.
Els membres suposadament compromesos de l'IEEE es troben al voltant de tot el món, segons la geolocalització de la seua adreça IP, on destaquen zones com ara Amèrica del Nord, Europa i l'Índia. Dragusin va notificar a l'IEEE el seu descobriment, el que els va permetre arreglar el problema almenys de forma parcial.