Nunca sabes quien está grabando...

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
1713667369753.png


Un amable recordatorio, de que en las vídeo llamadas de cualquier caracter, nunca sabes quien está grabando la pantalla en silencio. Ni menos sabes que es lo que van a realizar con el material. En el caso de la captura, es de una grabación para soporte.

No se que es mas preocupante, que todos los usuarios sean root, o que la contraseña difuminada del recuadro, sea la key del panel whm, o que la empresa se la halla jugado dejando todo en public_html a la espera de un buscador. (Porque la clave es válida).
Pero mas importante aún. ¿Qué motivará a la gente a ingresar a su repo de credenciales y abrirlas una por una en plena reunión mientras comparten la pantalla?, misterios de la vida.

pd: en su di aviso, pero como siempre pasa, nadie me tomó en cuenta, han pasado casi 3 años y el acceso aún sigue vigente :plaf2 .
 
Última modificación:

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
no entendi lo de la key whk, es la clave por defecto?
que cosa dejaron en public_html?

obviamente es una falencia grave que hayan grabado un video de capacitación mostrando esos datos, que por lo que te veo no son dummy. yo lo hubiese vuelto a grabar. o edito esa parte.

luego , que las password las hayamos vistos en una videollamada o webinar ocurre por dos razones,
1) descuido
2) falta de herramientas robustas de manejo de passwords.
3) falta de políticas de seguridad o incumplimiento de las mismas.

la 1 a mi me pasó, tengo dos pantallas y justo por un momento, apareció un doc donde tenía unas claves en claro en la pantalla que estaba transmitiendo. asi como tambien me apareció el doc con claves de uno de los ingenieros con que estábamos viendo un incidente mientras nos mostraba su pantalla como ingresaba y se cambiaba de máquina.

y luego el caso 2, a veces no hay voluntad (y/o presupuesto) instalar un gestor de claves. asi que la historia de claves en bloc de notas, google docs, one note , intercambiadas por gmail y similares seguirá ocurriendo. o en casos más graves que las tienen pegadas en el equipo físico con un post-it.

Ahi es cosa de preguntenle a sus familiares y amigos, donde guardan la clave del banco y la clave única del registro civil.
los menos te dirán que la tienen en su mente o en sistemas como keepass. Hace unos años leí una nota que la contraseña más común a nivel mundial es la palabra "password".

En sistemas,. el tema se complejiza mas, con sistemas heterogeneos (muchos no integrados a AD/LDAP), ahi las empresas aplican políticas especiales para mitigar los riesgos
Políticas de contraseñas: Cambios de contraseñas frecuentes, alta complejidad. etc.
Uso de doble factor de autenticación.
Pentest-Ethical Hacking
Monitoreo de eventos de filtraciones masivas.
ensobrado de cuentas
gestion de cuentas privilegiadas (cyber ark)
etc.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
no entendi lo de la key whk, es la clave por defecto?
whm... error de tipeo mío

la 1 a mi me pasó
A CHV tambien le pasó, estuve webiando en su momento con el panel de cencistas para consultar todo desde android y no tenía un DNI válido. Así que CHV amablemente me entregó esa información y desde una plataforma de vídeo bien conocida, lo único que tuve que hacer, fué mover cuadro por cuadro a velocidad 0.25 hasta dar con la información. Tambien pude recuperar el código QR que resultó ser useless. Pero según veo, es un error bien frecuente.

Tambien está el caso del youtuber al que le robaron las criptos de la misma forma.

que cosa dejaron en public_html?
La grabación de la reunión...
 
Subir