Me dieron ganas de compartir esto que encontré en AllFacebook, en donde hablaban sobre una publicación de Danah Boyd quien comentaba dos nuevas prácticas llamadas Super-logoff y WhiteWalling aplicadas mayormente por algunos adolescentes para mantener un control mayor sobre su presencia en línea, más específicamente en Facebook.

WhiteWalling o WhiteWashing

Esta es la estrategia más extremista según mi parecer. Se trata de dejar tu muro en blanco, literalmente, de ahí su nombre “white walling” y la idea es ir eliminando todas las notificaciones, mensajes y comentarios del muro a medida que se van publicando. En el caso de los “likes” (me gusta) los dejan por un tiempo hasta que el dueño de la publicación lo ve y luego lo quitan.

Y todo ese esfuerzo es realizado con el único fin de no generar o ser parte de posibles peleas, disputas o discusiones que puedan ocasionarles problemas con otras personas.

Super-logoff

Mucha más simple que lo anterior, en este caso lo que se hace es desactivar la cuenta cuando uno deja de utilizar Facebook en lugar de solo desconectarse. De esta manera nuestro perfil se convierte en invisible y nadie puede publicar mensajes en nuestro muro, no nos podrán etiquetar o siquiera encontrarnos vía el buscador.

Cuando uno decide desactivar su cuenta en Facebook, al menos hasta el momento de publicar esta entrada sigue siendo así, nuestro perfil pasa a ser invisible para los usuarios y aplicaciones de la red social, pero el mismo no es eliminado y basta con iniciar sesión nuevamente para restaurar nuestro perfil y volver a estar visible para nuestros contactos.

A continuación coloco un paso a paso para realizar el super-logoff pero obviamente el que quiera probarlo lo hará bajo su propio responsabilidad. De todas maneras como dije antes, no se pierde nada y los datos pasan a ser invisibles pero no son borrados en ningún momento.

Lo primero que deben hacer es acceder a la siguiente dirección:

http://www.facebook.com/deactivate.php

, también pueden llegar hasta esa sección desde las opciones de su cuenta.

Una vez ahí se debe seleccionar el motivo de la desactivación, en mi caso seleccione “Otro” pero bien podrían elegir “Esto es temporal. Volveré”.

Una vez que hacemos clic en el botón confirmar, se nos solicitará que ingresemos nuestra clave y tal vez nos haga completar un captcha por las dudas, luego de eso nuestra cuenta habrá sido desactivada.

Cuando queramos volver a utilizar Facebook, solo basta iniciar sesión y todo habrá vuelto a la normalidad.
También puede que nos encontremos con este mensaje de bienvenida:

Enlaces relacionados:

Teens Find Innovative Ways to Control Their Facebook Presence
http://www.allfacebook.com/teens-find-innovative-ways-to-control-their-facebook-presence-2010-11

Risk Reduction Strategies on Facebook
http://www.zephoria.org/thoughts/archives/2010/11/08/risk-reduction-strategies-on-facebook.html

Hoy en día la privacidad se ha vuelto un tema de moda, ¿lo hizo realmente?, yo creo que no, simplemente es que directa (nosotros) o indirectamente (nuestros amigos) estamos generando y compartiendo muchas más información que años atrás, por lo que cualquier cosa fuera de lugar ya causa un poco de revuelo. Como ha venido sucediendo últimamente con los cambios en los términos y condiciones de las redes sociales más populares. Por lo que la privacidad hoy en día no es un tema de moda, sino que hay mayor cantidad de contenidos por los que preocuparse, y de ahí que se haya convertido en un tema recurrente.

En el día de hoy, Atul Agarwal de Secfence Technologies, hacía público un error en Facebook que nos permite saber el nombre y apellido de una persona con solo conocer tu dirección de correo y sin necesidad de poseer una cuenta en dicha red social.

El truco es simple, solo hay que intentar conectarse a Facebook colocando como datos de acceso el email de la persona que queremos saber sus datos y como clave lo que se nos ocurra ya que no nos interesa ingresar, sino obtener su nombre y apellido.

Al intentar conectarnos con datos incorrectos, Facebook nos muestra un mensaje de error y si el email pertenece a uno de sus usuarios, solo nos informa y vuelve a solicitar la clave ya que asume que la dirección de correo era la correcta; el detalle aquí es que también nos mostrara el nombre, apellido e imagen/avatar del usuario al cual pertenece ese email.

¿De qué me sirve esto?

Uno de los posibles usos que podría darle un usuario malicioso es el de obtener el nombre y apellido (y foto en algunos casos) a partir de una base de datos de emails, y siendo que la gran mayoría de los usuarios de esta red social coloca sus datos reales, también podría usarse para validar/comprobar este tipo de información.

También podría utilizarse para comprobar la existencia de esos correos, uno podría generar emails del estilo nombre@empresa.com y verificar la existencia en Facebook.

Mas información:

Facebook name extraction based on email/wrong password + POC
http://seclists.org/fulldisclosure/2010/Aug/130

Actualización 12/08/2010: Al parecer el error ya fue solucionado.

El fundador de Facebook Mark Zuckerberg, ha publicado una carta abierta a todos los usuarios de dicha red en donde informa sobre cambios por venir en el sitio y las mejoras que se estarán realizando con respecto a las opciones de privacidad que disponen los usuarios y así también parte de la estructura organizativa de la red. A continuación les dejo una traducción que hice de la misma

Este ha sido un gran año para hacer del mundo un lugar más abierto y conectado. Gracias por tu ayuda, más de 350 millones de personas alrededor del mundo están utilizando Facebook para compartir sus vidas en línea.

Para hacer esto posible, nos hemos enfocado en darte las herramientas que necesitas para compartir y controlar tu información. Comenzando con nuestra primera versión de Facebook cinco años atrás, hemos construido herramientas que te ayudan a controlar lo que compartes con cada individuo o grupo de personas. Continuamos con nuestro trabajo para mejorar la privacidad.

El modelo actual de privacidad de Facebook gira en torno a redes (networks) – comunidades para tu escuela/universidad, tu empresa o tu región. Esto ha funcionado muy bien cuando Facebook fue utilizado mayoritariamente por estudiantes, ya que tenía sentido que los estudiantes quisieran compartir contenidos con sus compañeros de clases.

Con el correr del tiempo la gente nos pidió que agregáramos redes para empresas y regiones también. Hoy tenemos incluso redes para algunos países enteros, como India y China.

No obstante, como Facebook ha crecido, algunas de esas redes regionales tienen ahora millones de miembros y hemos llegado a la conclusión de que esta no es la mejor forma de controlar tu privacidad. Más del 50 por ciento de los usuarios de Facebook son miembros de redes regionales, por lo que esto es un asunto muy importante para nosotros. Si podemos construir un mejor sistema, entonces más de 100 millones de personas van a tener aún más control sobre su información.

El plan que se nos ha ocurrido es el de eliminar las redes regionales completamente y crear un modelo más simple para control de tu privacidad donde puedas especificar contenido para estar disponible para tus amigos, amigos de tus amigos, o todo el mundo.

Estamos agregando algo que muchos de ustedes han solicitado – la habilidad de controlar quien ve cada pieza individual de contenidos que creas o subes. Además, estaremos también cumpliendo una petición realizada por muchos de los usuarios de hacer la página de configuración de privacidad más simple combinando algunas de las opciones. Si deseas leer más sobre esto, comenzamos la discusión de este plan allá por Julio.

Durante esta actualización removeremos las redes regionales y crearemos algunas nuevas opciones, en las próximas dos semanas te solicitaremos que revises y actualices tu configuración de privacidad. Veras un mensaje que explicara los cambios y te dirigirá a la página donde podrás asegurarte de elegir la configuración adecuada para vos. Como siempre, una vez que lo hayas realizado podrás hacer los cambios que creas necesarios a tu configuración cuando lo desees.

Hemos trabajado muy duro para construir controles que pensamos serán mejores para vos, pero también entendemos las necesidades de todos son diferentes. Te sugeriremos opciones basadas en tu actual nivel de privacidad, pero la mejor forma de encontrar la configuración correcta es leer todas las opciones y personalizarlas a tu manera. Los aliento a hacer esto y considerar con quien están compartiendo su información en línea.

Gracias por hacer de Facebook lo que es hoy en día, y por ayudar en hacer del mundo un lugar más abierto y conectado.

Mark Zuckerberg

Enlace relacionado:

An Open Letter from Facebook Founder Mark Zuckerberg
http://blog.facebook.com/blog.php?post=190423927130

Pongámoslo así; un amigo compra entradas vía Ticketek para ir al recital de The Doors pero medio a último momento la fecha del mismo es cambiada para más adelante. La empresa luego da aviso a los que adquirieron la entrada por Internet de la siguiente manera:

Clic en la imagen para ver en grande.

Los destinatarios fueron incluidos todos en el campo “para” del correo, pudiendo uno ver quien más había adquirido la entrada. Podríamos decir que nuestra privacidad se va por el caño.

Analizando un poco el escenario, contamos con un pequeño listado de correos de individuos que ya han perdido el miedo a colocar sus datos personales (incluyendo tarjeta de crédito) en Internet, seguramente no será esta su primera compra y no tendrá problemas en volver a hacerlo. ¿Que sucedería si fuésemos un poco mas maliciosos?, un usuario inescrupuloso podría tomar este pequeño listado de correos y realizar un ataque de phishing, enviando un mensaje promocionando algún tipo de remuneración o devolución de un porcentaje del valor de la entrada por la molestia causada, previamente confirmar los datos de la compra (un pequeño formulario pidiendo datos personales y tarjeta de crédito); más de uno caería en la trampa. Y no necesariamente tiene que utilizarse un dominio ajeno a la empresa para esto…

Clic en la imagen para ver en grande.

Esta entrada no tiene como objetivo difamar a Ticketek, solamente quería mostrar que no hacen faltan grandes errores para encontrarle la vuelta maliciosa al tema, solo pequeños descuidos.

Según LaptopTheft.org habría sido robada una notebook conteniendo datos personales de aproximadamente 97.000 empleados de la cadena Starbucks. El caso salió a la luz luego de que fuese publicado un memo interno enviado por Russell Walker, VP de Seguridad, a los empleados de la compañía.

En el memo se hace saber que información como nombre, dirección y números de la seguridad social se encuentran entre los datos robados, poniendo en alto riesgo la seguridad financiera de los trabajadores; por lo que la empresa ha logrado un acuerdo con Equifax ofreciéndoles de manera gratuita el servicio de control crediticio por el próximo año.

De acuerdo a lo dicho por Russell Walker, la empresa estaría en proceso de implementar soluciones cifrado para salvaguardar la información de sus empleados y socios, y prevenir daños mayores en caso de ocurrir otro robo parecido.

Vía | LaptopTheft

Gracias una entrada en el blog de Sergio Hernando, llegue a una recopilación realizada por Information Shield en la que podemos ver cuáles son las principales leyes de privacidad y protección de datos personales, según país/jurisdicción en las que son de aplicación. Los títulos de las normas están en inglés.

• Argentina: Personal Data Protection Act of 2000 (aka Habeas Data)
• Austria: Data Protection Act 2000, Austrian Federal Law Gazette part I No. 165/1999 (Datenschutzgesetz 2000 or DSG 2000)
• Australia: Privacy Act of 1988
• Brasil: Privacy currently governed by Article 5 of the 1988 Constitution.
• Canadá: The Privacy Act – July 1983 , Personal Information Protection and Electronic Data Act (PIPEDA) of 2000 (Bill C-6)
• Chile: Ley de Privacidad de Chile (1999)
• Colombia: No hay leyes específicas de privacidad, pero la Constitución otorga a todos los ciudadanos los derechos de acceso, modificación y cancelación de su información personal.
• República Checa: Act on Protection of Personal Data (April 2000) No. 101
• Dinamarca: Act on Processing of Personal Data, Act No. 429, May 2000.
• Estonia: Personal Data Protection Act, June 1996, Consolidated July 2002.
• Unión Europea: European Union Data Protection Directive of 1998
• Unión Europea: EU Internet Privacy Law of 2002 (DIRECTIVE 2002/58/EC)
• Finlandia: Act on the Amedment of the Personal Data Act (986) 2000.
• Francia: Data Protection Act of 1978 (revised in 2004)
• Alemania: Federal Data Protection Act of 2001
• Grecia: Law No.2472 on the Protection of Individuals with Regard to the Processing of Personal Data, April 1997.
• Hong Kong: Personal Data Ordinance (The “Ordinance”)
• Hungría: Act LXIII of 1992 on the Protection of Personal Data and the Publicity of Data of Public Interests (excerpts in English).
• Islandia: Act of Protection of Individual; Processing Personal Data (Jan 2000)
• Irlanda: Data Protection (Amendment) Act, Number 6 of 2003
• India: Information Technology Act of 2000
• Italia: Data Protection Code of 2003 y Processing of Personal Data Act, January 1997
• Japón: Personal Information Protection Law (Act) (Official English Translation) y Law Summary from Jonesday Publishing
• Japón: Law for the Protection of Computer Processed Data Held by Administrative Organs, December 1988.
• Corea – Act on Personal Information Protection of Public Agencies y Act on Information and Communication Network Usage
• Letonia: Personal Data Protection Law, March 23, 2000.
• Lituania: Law on Legal Protection of Personal Data (June 1996)
• Luxemburgo: Law of 2 August 2002 on the Protection of Persons with Regard to the Processing of Personal Data.
• Malasia – Common Law principle of confidentiality, Draft Personal data Protection Bill y Banking and Financial Institutions Act of 1989 privacy provisions.
• Malta: Data Protection Act (Act XXVI of 2001), Amended March 22, 2002, November 15, 2002 and July 15, 2003
• Nueva Zelanda: Privacy Act, May 1993; Privacy Amendment Act, 1993; Privacy Amendment Act, 1994
• Noruega: Personal Data Act (April 2000) – Act of 14 April 2000 No. 31 Relating to the Processing of Personal Data (Personal Data Act)
• Filipinas: No general data protection law, but there is a recognized right of privacy in civil law.
• Polonia: Act of the Protection of Personal Data (August 1997)
• Singapur – The E-commerce Code for the Protection of Personal Information and Communications of Consumers of Internet Commerce
• República Eslovaca: Act No. 428 of 3 July 2002 on Personal Data Protection.
• Eslovenia: Personal Data Protection Act , RS No. 55/99.
• Corea del Sur: The Act on Promotion of Information and Communications Network Utilization and Data Protection of 2000
• España: ORGANIC LAW 15/1999 of 13 December on the Protection of Personal Data
• Suiza: The Federal Law on Data Protection of 1992
• Suecia: Personal Data Protection Act (1998:204), October 24, 1998
• Taiwan: Computer Processed Personal data Protection Law (sólo para instituciones públicas)
• Tailandia: Official Information Act (1997) for state agencies. ( Personal data Protection bill under consideration.)
• Vietnam: The Law on Electronic Transactions (Draft: Finalized in 2006)

Vía | sahw.com

Desde la semana pasada está dando vueltas la noticia de la subasta de una PC conteniendo información privada de los clientes de Royal Bank of Scotland en EBay por solo £35, unos AR$ 208, que si tenemos en cuenta que el número de clientes ascendía al millón, pagar AR$ 0,000208 por cliente no está nada mal.

Aparentemente la venta habría sido realizada casualmente por un ex-empleado de GD, empresa del sureste de Inglaterra que se dedica a almacenar información de organizaciones financieras. Y como reza su eslogan hacen de “tus documentos” su negocio, vaya forma de hacerlo.

Andrew Chapman fue quien adquirió el equipo y realizo la denuncia luego de haberse encontrado con esa información en uno de los discos duros. La gente de GD, ¿habrá escuchado hablar de encriptación de datos?

Vía | elmundo.es

Estaba leyendo mis feeds y entre ellos me encontré con un artículo de Cristian en el blog de Segu-Info, en el que demuestra lo fácil que un extraño puede acceder a los datos de un usuario determinado que haya hecho la reserva en línea de un IPhone vía Claro Argentina.

La discusión también se dio en el foro en donde uno de los participantes (abogado él) dijo que ya había hecho la denuncia en la DNPDP (Dirección Nacional de Protección de Datos Personales).

Bien, el problema en si está en que un usuario que hace la reserva del producto luego puede consultar sus datos ingresando solamente su dirección de correo, muchos dirán “eso no tiene nada de malo”, y tal vez tengan razón, pero este no es el caso, en el pedido uno debe colocar datos MUY personales como lo son la fecha de nacimiento, documento de identidad, dirección, teléfonos, etc. Con saber el correo de una persona basta para obtener todos sus datos personales si este realizo una reserva del IPhone en Claro Argentina.

Dejemos algo en claro (ja!), esto no es una vulnerabilidad es solo un error de diseño que podría llegar a ser aprovechado por alguien con fines maliciosos.

El sitio en cuestión es el siguiente:

http://www.claro.com.ar/iphonereservas/

, en el mismo contamos con un formulario en el que se solicitan datos como nombre, apellido, teléfono, dirección postal, correo electrónico, DNI, fecha de nacimiento, usuario, password, etc.

Esos datos, pueden ser consultados luego con solo ingresar nuestro correo electrónico, y ahí está el problema. Dicha acción puede ser realizada desde el sitio en flash mismo o directamente haciendo la petición al archivo que devuelve los datos internamente.

Para obtener los datos directamente se puede utilizar la siguiente URL:

http://www.claro.com.ar/iphonereservas/login2.aspx?email_txt=correo@victima.com

Que nos devolverá algo como lo siguiente:

&estatus2=OK&id=40396&email=fallas@gmail.com&name=john&
lastName=doe&telephoneMovil=3513885696&
address=alvear 2758&city=cordoba&country=argentina&type=si&
day=19&month=8&year=1981&dni=28851468&username=tu_usuario&
password=tu_clave_aca&telephone=351522536

De esa forma uno podría programar una aplicación que vaya recolectando datos a partir de un listado de correos electrónicos. Pero no todo termina ahí, cada nueva reserva es hecha enviando los datos al archivo:

http://www.claro.com.ar/iphonereservas/register2.aspx

, por lo que si la competencia quisiera ralentizar el proceso podría generar fácilmente altas falsas enviando los datos al archivo nombrado anteriormente.

Actualización 17hs: Claro ha suspendido este servicio por lo que he publicado las URLs que poseían este error ya que las mismas se encuentran inaccesibles en este momento y no pueden causar daño alguno.

Claro, regala tus datos personales
http://seguinfo.blogspot.com/2008/08/claro-regala-tus-datos-personales.html

G-Archiver es una aplicación que permite a cualquier usuario de GMail realizar copias de seguridad de su cuenta. Al parecer, según dicen en la web oficial de G-Archiver, un miembro de su equipo de desarrollo mientras probaba la aplicación agrego una función que se encargaba de enviar el usuario y clave de cada cuenta ingresada a un correo especifico, obviamente con fines de testeo de la aplicación; ¿ustedes se lo creen?, yo no.

Utilizando Reflector, un descompilador para la plataforma .NET de Microsoft podemos hacernos con la función de la discordia:

Como se puede ver claramente en la imagen, el usuario y clave de la cuenta GMail donde eran enviados los datos se encontraba en texto plano, y al ingresar en dicha cuenta uno podía encontrarse con algo así:

Esta aplicación no puede ser descargada actualmente desde su web oficial, debido a que están trabajando en una nueva versión para mejorar el pequeño error de la primera.

Enlaces relacionados:

A Question of Programming Ethics

http://www.codinghorror.com/blog/archives/001072.html

What happened with G-Archiver?

http://www.garchiver.com/what-happened.htm

Shareware roba contraseñas de Gmail

http://www.kriptopolis.org/shareware-roba-passwords-gmail

Reflector for .NET

http://www.aisto.com/roeder/dotnet/

Comico video en donde dos amigos tienen un encuentro cercano del tercer tipo con Google Maps.