El grupo tras el hack a El Corte Inglés explica cómo accedió a sus servidores

PublishedFebruary 5, 2016

We may earn a commission from links on this page.

Se hacen llamar La Nueve, y son el grupo de hackers responsable de la reciente filtración masiva de las cuentas de patrocinio y relaciones públicas de El Corte Inglés. Los hackers, que están vinculados a Anonymous, han publicado un interesante relato de cómo accedieron a los datos de la compañía.

Watch

Camara Más Grande Del Mundo

view video

Hemos ido a ver la cámara digital más grande del mundo y sí, es muy grande

Así suena el silbato de la muerte azteca, el espeluznante instrumento que tiene perplejos a los arqueólogos

July 27, 2018

Miura 1, el primer cohete fabricado por una empresa española, está listo para volar

March 16, 2023

Independientemente de que los datos encontrados sean más o menos escandalosos, el cómo se obtuvieron es una historia que merece ser leída, aunque solo sea para entender la importancia de la seguridad en las redes de empresa.

La Nueve no recurrió a ingeniería social para acceder a la información. En otras palabras, no se aprovechó del despiste de un empleado para obtener una contraseña de acceso fácilmente. El proceso que terminó en la filtración de cinco ejercicios presupuestarios con todo lujo de detalles llevó meses y requirió de un exhaustivo análisis de la infraestructura online que utiliza la compañía.

Cuanto más grande es una red informática, más posibilidades tiene de sufrir vulnerabilidades, y la de El Corte Inglés era una aplicación de terceros para la gestión de contenidos de una compañía llamada Acceso. La aplicación contaba con varios puntos débiles en forma de mala gestión de los nombres de URL. A la postre, La Nueve encontró el resquicio que necesitaba: una dirección vulnerable a un ataque mediante inyección de código SQL. El resto es historia.

El grupo de hackers concluye explicando por qué eligió El Corte Inglés como objetivo de sus ataques:

Seguimos considerando como objetivos válidos de nuestras acciones cualquier desarrollo, aplicación, o servicios online de ECI o cualquier otro entramado empresarial que se distinga por el maltrato y/o abuso de sus trabajadores, la ocultación, corruptelas, nazi-fachas y/o asociaciones o medios de comunicación vendidos a un sistema donde sólo el poder y la economía priman sobre otros valores. El conocimiento debe ser libre y la información liberada. ¡Esperadnos!

En el Tumblr del grupo tenéis todos los detalles técnicos sobre el hack más sonado en lo que va de año. [vía La Nueve]

Open kinja-labs.com

***

Psst! también puedes seguirnos en Twitter y Facebook :)

Psst! también puedes seguirnos en Twitter y Facebook :)