"¿Sabe que está entrando en una conferencia secreta?", le dijo Josep Borrell, responsable de política exterior de la Unión Europea a Daniël Verlaan, periodista holandés de RTL Nieuws. "¿Sabes que es una ofensa criminal? Mejor desconéctate rápido antes que llegue la policía". La amenaza vino por la inesperada aparición del periodista en una videollamada entre los ministros de defensa de la Unión Europea.
Tras varios intentos, RTL logró adivinar el código PIN de la videollamada secreta. No resultó tan difícil, pues cinco de los seis dígitos del código PIN eran visibles en una foto publicada por la ministra de Defensa holandesa en Twitter.
Un error en Twitter es suficiente para acceder a reuniones del más alto nivel
Imagen: Daniël Verlaan
Una vez dentro, el sorprendido periodista comenzó a saludar a los distintos ministros y reírse de la surrealista situación. Tras recibir la advertencia de Borrell, el periodista pidió perdón por la interrupción y se despidió en unos minutos.
That @danielverlaan hack of the EU defence ministers' meeting? This is how it looked from the inside. Comedy gold. pic.twitter.com/1qvVYKsDpt
— Michiel van Hulten (@mvanhulten) November 20, 2020
Ank Bijleveld, ministra holandesa de Defensa publicó una imagen en su cuenta de Twitter donde aparecían algunos de los dígitos necesarios para la reunión. Desde el ministerio de Defensa holandés explican a RTL que un miembro del equipo publicó accidentalmente la imagen.
Thank you @danielverlaan for hacking a EU defence ministers conference. Apart from a good laugh, I hope it will raise awareness about communication security issues in the EU institutions. If it’s the case , you will be my hero ! #Defence #EU #LetsBeSerious pic.twitter.com/5nj3kNZGmz
— Nathalie Loiseau (@NathalieLoiseau) November 21, 2020
"Esto demuestra una vez más que los ministros deben darse cuenta del cuidado que hay que tener con Twitter", explicaba el propio Primer Ministro holandés, Mark Rutte.
La aparición del periodista tiene su punto cómico, pero pone en evidencia las serias dudas sobre la seguridad de estas reuniones al más alto nivel de la Unión Europea.
En Xataka | Qué me recomiendan los expertos en ciberseguridad que estudie para ser un experto en la disciplina
Ver 46 comentarios
46 comentarios
hispaniafer
No es un fallo de seguridad muy importante que muestre la contraseña en la URL? Y aun mas si es una reunion secreta militar? Me parece muy grave que a tan alto nivel, tengan tan pesima seguridad. Si el resto de sistemas son iguales, temo que tengamos a la mitad de los gobiernos del mundo espiando a nuestros sistemas
fanios
Vamos a ver si lo entiendo.
1. La ministra de defensa la caga publicando una foto donde hace públicas las credenciales para estar en esa reunión del más alto nivel europeo y punible si entras sin permiso. Demuestra que no tiene idea de la defensa que tiene el sistema de conferencias. En estas cosas deberían darle un cursillo a todos los ministros y si es el de defensa, un poquito más largo.
2. Para salir del paso, agradece al que la ha "hackeado" que lo haya hecho, aunque sea cometiendo, ya no un delito sino un crimen (¿ofensa criminal?). Así se demuestra lo que siempre ha defendido. Que la seguridad de estas conferencias online es baja. Lo que siempre ha dicho ella y era consciente de la misma cuando publicó esa imagen.
En fin, veo que los tontos de remate y sin vergüenzas varios no son cotos exclusivos de nuestra política.
jozeico
No hay nada menos seguro que un tonto
bucle
Estoy aquí flipando que estemos aquí condenando a la gente que publicó una foto. Como doctor en informática y desarrollador de aplicaciones móviles y web, es una máxima dar por sentado que el usuario no sabe y no tiene porque saber de los entresijos de la informática.
Lo que es totalmente condenable y donde deberíamos poner el dedo es en el desarrollador/equipo que hay detrás de eso. Nunca se deben poner datos sensibles en la URL y siempre que sea posible hay que evitar poner ningún tipo de datos. Hay dos formas de hacer peticiones a un servidor: Por URL o incluyendo los datos en el "body" del mensaje.
Y es el segundo método el más seguro pues es el que se va a cifrar con el certificado SSL (ya sabéis, el https. Que doy por sentado que que si llevaba el susodicho servidor), que no es que sea necesariamente la panacea, pero eso evita que los datos sean visibles. Si pones esos datos en la URL van a quedar visible y ya da igual que uses certificados SSL.
Un saludo!
Usuario desactivado
En la próxima reunión ultrasecreta, colgará en Twitter una foto de la mesa de trabajo, con todos los documentos secretos encima de la mesa.
Y luego van los rusos y se gastan el dinero en hackers...
elreydelpollofrito
Logueado con una simple url en $_GET...
Esto es lo que pasa por dar tanto la matraca contra las pobres cookies.
Justicia divina.
Usuario desactivado
Me encantaría tener un trabajo en donde, entre los favoritos, en su acceso directo, me permitiesen tener Netflix y, además, el enlace a una película.
La política es un trabajo duro.
pos_soy_yo
El Comité de Expertos.
frikifecto
De nada sirve tener el mejor sistema de seguridad del mundo si falla el eslabón más débil: el humano.
Trocotronic
El Jimmy Jump holandés, pero sin el trasero. ¿O no?
Funkse
independientemente de que la ministra publicara una imagen de los asistentes que por GDPR no debería de haberlo hecho y por confidencialidad de la reunión, en especial a tan alto nivel, el hecho de que la aplicación utilice en la URL la contraseña y el usuario en texto plano (visible en la propia url) es un fallo de cojones, vcale que seria a traves de HTTPS, pero no se debe de hacer así...cagada monumental de la app, no se que entorno utilizarían, pero si es alguna app conocida, mas vale que dejen de usarla, joder hasta google meet tiene la opción de aprobar o denegar el acceso a una reunión y no es la mas avanzada del mercado.
josuedicha
Porque una sala de espera como tiene Zoom y que el anfitrión no te deje pasar si no te conoce aunque tengas las credenciales es mucho pedir, claro
marjuanmanuel
Osea estoy en una reunión de seguridad nacional y publico en Twitter que estoy en esa reunión y de paso revelo parte de la contraseña en la foto que subo para decir que estoy en esa reunión... No pues wow, eso es seguridad 😋
Gustavo Woltmann
Me parece de broma que haya pasado eso con tanta facilidad, ni fallo de seguridad ni nada si no se entera la gente que sube fotos a twitter.
maxidirienzo1
Lamentablemente Zoom ya ha mostrado serias vulnerabilidades de seguridad que son mas que preocupantes.
En las URL que secomparten datos sensitivos para ingresara a las reuniones, esto de alguna manera está bien ya que de otra manera por mas mensaje en rojo con letras gigantes diciendo "Para ingresar a la reunión INGRESE EL PIN 1234", mas de la mitad de las personas no sabrán que hacer cuando Zoom les pida el PIN.
PERO, los desarrolladores deberían darse cuenta que dejar en la URL del navegador datos sensitivos no es una buena práctica, te pueden estar fotografiando desde 20mts y tu no te das cuenta, o peor... una ministra puede publicar ella misma la foto de la pantalla para mostrar a los votantes que de hecho está trabajando en plena pandemia.
No por nada los campos de contraseña muestran los famosos "puntitos" o "asteriscos" al ingresarlas, y dependiendo del sitio, algunos también lo hacen con el nombre de usuario... no son cuestiones para nada nuevas!
Berofontes
Pero si nos gobiernan borregos.. que queremos...
moskman
lastima que al periodista no se le ocurrió entrar con la imagen y nombre del Norcoreano Kim jaja
imf017
Esto demuestra una vez más que los ministros y altos funcionarios no tienen ni idea de informática. Y sus asesores parece que aun tienen menos, o no les hacen caso.
castle24
Por cosas como esta es por lo que la gente debería tomarse su tiempo antes de elegir a un político porque le caiga bien o le parezca más guapo. El día que se elijan por su preparación e idoneidad para el puesto, habrá que tirar cohetes.
Imagino que las conferencias entre miembros del Club Bilderberg tendrán más seguridad...