Nuevamente en línea
Estimados Socios,
Como muchos de ustedes saben, desde la madrugada del día de hoy, miércoles 24 de 2010, hemos estado fuera de línea debido a que en un blog (que ya no se encuentra disponible) se han publicado los datos (usuarios y contraseñas) de 461 miembros de Geelbe.
Como medida preventiva, nuestra primera acción fue bloquear el acceso a Geelbe, generar las denuncias para que den de baja el blog que contenía los datos, mantener informados a nuestros usuarios a través de Twitter, Facebook, nuestro blog y mails que les han sido enviados. Todo esto fue mantenido hasta tener un claro panorama de cómo esto podía afectar a nuestros miembros.
En el transcurso de la madrugada fuimos confirmando algunos puntos:
- Los datos publicados no eran actuales.
- No se han perdido datos.
- No se han realizado compras con datos ajenos (Geelbe no almacena información relacionada con tarjetas de crédito) o modificaciones de datos en compras.
- Sólo se han publicado 461 datos de los primeros 461 registrados de Argentina (esto no quiere decir que quien lo hizo pueda tener datos de otras personas). Dentro de estos usuarios, hay muchos que son de pruebas internas previos al lanzamiento de la plataforma.
- Los datos de las transacciones, incluyendo tarjetas de crédito han estado siempre 100% seguros en Geelbe, ya que cumplimos con las reglamentaciones de las tarjetas de crédito, no almacenando dichos datos y evitando la participación humana en el proceso de pago, garantizando así la seguridad de la transacción.
Apenas tuvimos una visión más clara sobre lo que estaba sucediendo, dimos aviso inmediato a nuestros 461 usuarios afectados. Luego, cerca de las 11hs, realizamos una comunicación proactiva a nuestros miembros (aunque sus cuentas no se vieron afectadas) para explicar lo sucedido y aconsejarles que, por precaución, modifiquen sus contraseñas.
Por otro lado, hemos elevado el nivel de encriptación de las contraseñas (que no estaban en texto plano), para evitar futuros inconvenientes.
En Geelbe estamos conscientes que la seguridad y confianza de nuestros usuarios es fundamental, por ello les pedimos disculpas por las molestias que este inconveniente pudo ocasionarles. Contamos en que seguirán confiando en nosotros y en nuestro trabajo para llevarles las mejores marcas con hasta el 70% de descuento!
Atentamente,
El Equipo de Geelbe
14 Responses to “Nuevamente en línea”
Leave a Reply
elondaits on March 24th, 2010
Las contraseñas sí estaban en texto plano, a fines prácticos… codificarlas en Base64 o en jeringoso es lo mismo, en tanto no inhibe a ningún atacante de utilizar las mismas.
No hay excusa posible para que un sitio de e-commerce no tenga las contraseñas hasheadas con un salt. Es la práctica standard de la industria, es increíblemente simple y sencillo, y es el mínimo nivel de protección aceptable.
Ezequiel on March 24th, 2010
“Por otro lado, hemos elevado el nivel de encriptación de las contraseñas (que no estaban en texto plano), para evitar futuros inconvenientes.”
Qué sistema van a usar para almacenar las contraseñas?
Gracias
Javier Frachi on March 24th, 2010
Como cliente gracias por haberse puesto las pilas y especialmente en dar de baja ese blog de wp.
Sería bueno durante la semana explicar el tema de la seguridad en las contraseñas para mejorar la confianza. Mucho se dijo que estaban pobremente cifradas. ¿Cuánto hay de cierto?
Saludos y que terminen lo mejor posible el día.
Angel on March 24th, 2010
Disculpen, pero este password esta mal:
> > Por otro lado, hemos elevado el nivel de encriptación de las contraseñas (que no estaban en texto plano), para evitar futuros inconvenientes.
Hoy a la madrugada estaba despierto y llegue a ver los el blog donde se publicaron los passwords, los mismos estaban en Base64, lo que es un encoding, no un algoritmo de encriptacion. Para “mejorar la encriptacion”, primero deberian haber tenido una.
No lo tomen a mal, les deseo la mejor de las suerte con su emprendimiento y de hecho le pedi a Ismael Briasco que les alcance mi contacto con las mejores intenciones de ayudar, pero no esta mal levantar la mano y decir me equivoque, no traten de ocultar lo que es cierto. Base64 es el encoding en el que se trasmiten datos como imagenes en la web o attachments en los emails, no es un algoritmo de encriptacion. Creo que la actitud correcta es decir “nos equivocamos” y no tratar de taparlo, no con mentiras, porque si no no a los que nos apasiona la programacion, la tecnologia y la web no nos queda otra mas que gritar “MENTIRA” y señalarlos.
Espero que el PR negativo de todo esto no los afecte, que de esto salgan mejor parados que lo que estaban antes, pero para eso tienen que hacer cosas como dejar de mentir. Si alguien los esta asesorando diciendo que eso es encriptar, recomendacion: pidan una segunda opinion, ofresco la mia en privado y gratis (pidanle a Ismael mi email), pero sepan que es mentira.
Devuelta, mucha suerte con Geelbe.
-Pablo- on March 24th, 2010
A ustedes les da la cara para todo. No los culpo por el hackeo porque a cualquiera le puede pasar, como ha ocurrido con tantos sitios más populares y con más recursos a su disposición.
Pero no deberían tener las contraseñas almacenadas. Como en cualquier lugar serio, deberían almacenar solamente un hash en la base de datos, de modo que aun conociendo este, no se pueda determinar a ciencia cierta cuál es la contraseña que lo originó. Guardar las contraseñas así nomás (o pobremente encriptadas) es imperdonable. Y encima, todavía les da la cara para decir en el blog que las contraseñas “no estaban en texto plano”, como si eso fuese suficiente medida de seguridad!!
Mi confianza, no la recuperan más… y seguramente la de muchos otros tampoco.
Martín on March 24th, 2010
Lamentablemente, el que se quema con leche, ve una vaca y llora…
Siguen diciendo que estan conscientes de la seguridad? el titulo del articulo deberia ser un gran PERDON.
Nunca estuvieron conscientes de la seguridad… guardar los datos de login de esta forma?
Que sirva para aprender la competencia.
gaston on March 25th, 2010
Estimados Usuarios,
Primero que nada, y como lo hemos hecho desde el principio, la intención de Geelbe fue siempre mantener informados a todos los miembros acerca de la situación, y accionar, tanto para resguardar sus datos y la seguridad de nuestros sistemas, así como contra la publicación de los 461 datos que fueron expuestos.
Nos hemos hecho cargo desde el inicio de lo sucedido y en cada comunicación asumido nuestra responsabilidad y el compromiso de trabajar para mejorar, pidiendo siempre las disculpas que corresponden.
Entendemos que algunos de Uds. tengan preparación técnica suficiente para entender lo que pasó con mayor nivel de detalle. Pero deben entender que nuestra comunicación oficial debe ser realizada en una forma llana, pensando más en que lo entiendan los miles de Miembros que posee Geelbe, quienes la mayoría no entienden de cuestiones técnicas.
Desde el punto de vista técnico, la explicación es que fuimos atacados hace un tiempo, sin que hayamos podido notarlo, a través de un SQL Injection en una versión vieja del sitio que dejó expuestos el email y las claves de algunos de nuestros usuarios. Las claves en dicho momento no se encontraban en texto plano pero tampoco estaban bajo encriptación, sino por un sistema de encodeado denominado Base64. Al día de ayer, cuando se realizó la publicación mencionada, las claves se encontraban ya encriptadas a partir de una actualización de nuestros sistemas ocurrida tiempo atrás.
En el día de ayer a la madrugada nuestros sistemas no sufrieron ningún ataque directo, sino que quienes cometieron el ataque anterior publicaron 461 mails y la clave encodeada de los primeros 461 registros de la base de datos, correspondiente a los primeros 461 usuarios que el 1/7/07 se registraron en nuestra Beta.
Las acciones que se tomaron, como dice el comunicado oficial, fue comunicar a nuestros usuarios lo que estaba sucediendo, restringir el acceso a nuestros sistemas y comenzar a determinar cómo esos datos se habían filtrado.
Desde lo técnico se reforzó la seguridad de acceso a bases de datos, se verificó el funcionamiento de los sistemas, se verificó el funcionamiento del proceso de encriptación de claves (que insistimos que estaba en funcionamiento antes de lo ocurrido ayer), se aseguraron los datos de logs y verificamos que la vulnerabilidad por la que en su momento se había podido tener acceso estuviera ya corregida.
También se verificó y confirmó que ningún dato de transacción pudo ser alterado o accedido y que los sistemas de procesamiento de pagos se encontraban estables y habían funcionado a la perfección evitando que estos datos pudieran ser accedidos.
Hecho esto, durante la tarde de ayer, procedimos a abrir nuestras operaciones, comenzando por nuestra plataforma en México, que no había sido afectada, y luego en Argentina.
Hoy nos encontramos en condiciones de continuar ofreciendo nuestros productos, con la seguridad y confianza que nos hemos comprometido desde nuestro lanzamiento, hacer llegar los mejores productos, de las mejores marcas, a los mejores precios.
Estamos seguros de que nuestra actitud de comunicación plena y rápida reacción ante un ataque externo y malintencionado nos mantendrá la confianza que nuestros miles de Miembros nos han demostrado en este tiempo y que seguiremos contando con todos como parte de nuestro Club.
Como siempre estamos a su entera disposición.
Atentamente,
El equipo de Geelbe
fabianlujan on March 25th, 2010
primero que nada, me sorprendió leer que habían obtenido las contraseñas.
yo no entiendo nada, pero con mi myphpadmin no puedo ver mis propias contraseñas, es decir, estan encriptadas o algo así…¿cómo geelbe las tenia entonces?
eso me preocupó bastante.
ahora bien, por via privada quisiera saber si yo estoy dentro de los 461.
este o no, quiero que se me notifique via email ya que de una forma u otra, los pasos a seguir varian.
pensé en darme de baja y exigir la remoción total de mis datos e intervenciones del sitio; pero les daré otra oportunidad.
saludos y espero el email
gaston on March 25th, 2010
Fabian,
Tus datos no estaban dentro de los 461, por ello durante el día de ayer recibiste seguramente las comunicaciones genéricas. Quienes estuvieron dentro de ese grupo recibieron comunicaciones expresas que les comunicaron lo ocurrido y los pasos que recomendábamos seguir.
Igualmente te enviarán un mail desde Atención al Cliente para comunicarte esto.
Saludos
Nicolas on March 25th, 2010
Hay una cosa que no me quedo clara: si no estoy dentro de los 461, el atacante igual obtuvo mi clave?
Por otra parte, teniendo en cuenta que fue un ataque pasado que ahora se hizo publico, creo que es claro que fue para dañar la imagen de Geelbe no?
paulaalmecija on March 25th, 2010
En el día de ayer no recibí ni mail genérico ni expreso.
Acabo de modificar la contraseña pero cómo sé si estuve dentro de los 461 o no?
Gracias,
Paula
Adrian Ramiro on March 25th, 2010
Una medida de seguridad que reforzaría mi confianza sería que me obliguen a cambiar mi contraseña (mucho mejor si es por alguna más segura que solo 6 caracteres) y confirmar dicho cambio por email.
Yo personalmente ya cambié mi contraseña de Geelbe y la de sitios donde tenía la misma contraseña, pero como mencionas Gastón, la mayoría de los usuarios de Geelbe no tienen los conocimientos técnicos, y muy probablemente nunca se enteraron de nada, salvo por el mailing que hicieron reconociendo el problema.
De todos modos, me parece que todo Geelbe tuvo una respuesta excelente, no solo trabajando un feriado, sino dando la cara por lo que pasó, sin tratar de esconder información y deseo que esto haya sido un pequeño traspie y continuar el creciemiento sostenido.
gaston on March 25th, 2010
paulaalmecija, Tienes que haber recibido, al menos, dos correos. Si estuviste dentro de los 461 expuestos, debiste haber recibido hasta cuatro. Si no te registraste el 1/7/07 en Geelbe, tus datos no fueron expuestos. Igual te recomendamos cambiar tus claves.
POWNED!!!!! on March 25th, 2010
suerte