lunes, enero 04, 2010

[Actualizado 8 veces] TRANQUILOS, que el dinero público está en buenas manos: el gobierno paga 12 millones de euros a Telefónica para desarrollar y mantener el web de la presidencia española de la UE, y al cabo de un par de días ya la han hackeado. Mirad qué ha aparecido hoy:


Impagable.

ACTUALIZACIÓN. Mr. Bean ya no está, pero el web da un error 503 ("Service Temporarily Unavailable"). Menudos hachas. Claro que con lo poco que ha costado no se le puede pedir peras al olmo...

ACTUALIZACIÓN II. Por aquí dicen que no se trata verdaderamente de un hackeo. Como no tengo ni idea de estos temas no puedo juzgar. En el mejor de los casos, no lo es, pero la página sigue caída, lo que tampoco deja en buen lugar a los implicados.

ACTUALIZACIÓN III. La Moncloa comunica esto por Twitter:

Uno: "El incidente ha consistido en un pantallazo de http://www.eu2010.es para hacer un fotomontaje al que se ha asignado un falso enlace"

Dos: "La web http://www.eu2010.es no ha sido alterada por ningún intruso, la imagen mostrada en el engaño ha sido cargada desde un servidor remoto"

Tres: "El supuesto ataque reside en el enlace creado malintencionadamente y no es posible acceder a esa url usando normalmente http://www.eu2010.es"

Lo que ocurre es que no se puede acceder a nada, porque http://www.eu2010.es está caída desde esta mañana cuando ha "saltado" la información. Hmmmm. Mucha casualidad me parece a mí...

ACTUALIZACIÓN IV. Ah: "La web http://www.eu2010.es registra ahora un considerable aumento de tráfico, provocando problemas en los accesos que se están resolviendo" Si eso es realmente así, tampoco es como para estar muy orgullosos del empleo de los 12 millones de euros...

ACTUALIZACIÓN V. Ni un mero pantallazo para hacer un fotomontaje, ni un ataque hacker propiamente dicho: parece ser que ha "consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross-site scripting) dirigida a los usuarios de la web y no a la web en sí misma", según una experta citada por El Mundo. "Un fallo que cualquier desarrollador debería haber sabido evitar". Por lo visto no uno que se ha embolsado 12 milloncejos del ala...

ACTUALIZACION VI. Más detalles.

ACTUALIZACIÓN VII. Cierro el tema con este comunicado que acaba de hacer público La Moncloa. Un comunicado engañoso, porque siguen insistiendo en que es un fotomontaje, pero eso es falso. Nadie cogió una captura de pantalla del web de la presidencia española de la UE, le añadió la cara de Mr. Bean con fotochó, y la distribuyó por email en plan hoax. Lo que ocurrió es, primero, que el sitio tenía una vulnerabilidad bastante elemental, que alguien explotó. Y segundo y casi tan grave, que por lo visto 12 millones no dan para un hosting mínimamente bien escalado. El web estuvo caído casi todo el día de ayer, y hoy dicen que va bien, pero a mí, cuando lo he probado hace un rato, me tardaba 111 segundos en cargar la página.

ACTUALIZACIÓN VIII. Va, una más: Hispasec explica los detalles.