No solamente existe la impersonalizacion en sistemas, nunca debemos olvidar que los sistemas reemplazan a personas y que este metodo, no es mas que un remake de una tecnica que existe en la vida real, como una herramienta mas de la ingenieria social.
En este momento me encuentro en busqueda de empleo, este "trabajo" implica entre otras cosas, contactar a nuestra red de conocidos, postularte en sitios de busqueda laboral, contactar consultoras, formar parte de redes sociales, etc.
Hoy hay mucho ruido sobre la seguridad de la informacion personal en las redes sociales, Facebook, Twitter y Linkedin estan en el ojo de la tormenta.
Un articulo interesante al respecto podes encontrarlo en blog.segu-info.com.ar
Consejos para proteger tu intimidad en redes sociales
Bien, como les decia, uno de los puntos en la busqueda de empleo es posturlarse en las diferentes consultoras, las cuales en la mayoria de los casos tienen un portal donde debes ingresar tu CV, en otros casos envias el mismo por mail.Demas esta decir que la informacion que se nos pide es sumamente sensible y se encuadra en todos los puntos que no debemos publicar en un red social :
- No indiques datos personales como tu dirección, trabajo o teléfono.
-No des nunca información sobre tu situación laboral, familiar o futuros planes y viajes.
- Utiliza una contraseña compleja y difícil de adivinar para tu cuenta de usuario.
En gral las consultoras o los sitios de busqueda de personal piden los siguientes datos :
- Nombre y Apellido
- Telefono
- Mobil
- Telefono Laboral
- Direccion
- Trabajo actual
- Funciones desarrolladas
- Trabajos anteriores
- Funciones desarrolladas
- Remuneracion pretendida
- Foto
Por supuesto que es informacion mucho mas critica que la que uno puede encontrar en Linkedin, ( como saben los que visitan el sitio, mi perfil esta alli ). No estoy diciendo que Linkedin es seguro 100%, pero yo no tengo mi telefono mobil o mi sueldo pretendido.
Si bien es cierto que con herramientas como Maltego uno puede hacer un perfil buscando informacion en toda la red, accediendo a una base de datos de una consultora, tenemos todos los datos disponibles en un solo punto.
Que tan seguro son esos sitios ? Como protegen nuestra informacion ???
Como diria el Dr. Lenning en I Robot, " Esa es la pregunta correcta"
Hoy comencé a ver una serie de consultoras orientadas a Gerencias de departamentos y Jefaturas. De las primeras cinco, en dos no respondía el sitio web , una pedía enviar el CV por mail y otra tenia tercerizado el ingreso de los datos en un sitio externo embebido en su pagina.
Dado mi defecto de profesión, antes de poner mis datos hice un pequeño test sobre el sitio.
Crean me que no fue un penetration test, solamente algo de fuzzing en los campos de entrada.
Entonces, vi lo que no quería ver. El sitio estaba plagado de errores, tanto de programación como de implementación.
Se podían acceder a los datos de las empresas y sus querys burlando el acceso por usuario y password.
Lo mas dramático es que toda la información de las personas esta allí, a la espera que un inescrupuloso la tome para cualquier fin, desde hacer un secuestro virtual ( recuerden que estan todos los datos ) hasta robo de identidad.
Este solo es un ejemplo de lo que les hablo ( hay otros con mas información ) :
Este tipo de errores son causa de no contar con una metodología de desarrollo segura y por ende no aplicar mejores practicas, como las que vimos en el post :
ten-commandments-of-secure-development
Además de no tener una política de seguridad por parte de la empresa que brinda el servicio de alquiler de aplicaciones a terceros.
Porque el ejemplo que di, pertenece a una consultora, cambiando el parámetro que define la empresa, podemos acceder a los datos y busquedas de otras consultoras...
Por eso amigos, esten atentos donde ponen sus datos, hay mucha gente que esta desprotegida y con la necesidad de un empleo se arriesgan a este tipo de situaciones.
No comments:
Post a Comment