Geelbe club privado (de seguridad) de compras


Ayer me levanté con todo el buen humor de un día de NO trabajo con todas las pilas para empezar a cambiar el theme de este blog, cosa que no hago hace meses y me encontré con que publicaron los datos de los usuarios de geelbe .

Yo tenía la misma clave en varios lugares, esa clave era fácil, aclaro porque seguro me van a venir con las cosas de “no podes tener la misma clave en varios lugares” cosa que me enoja, porque cada uno pone las claves que quiere donde quiere.

El problema acá no fue usar la misma clave y que sea fácil, el drama acá fue que hubo gente muy poco capacitada a cargo de si se quiere, información sensible.

El tipo que afanó las claves, no quiero decir hacker porque seguro que el tipo se afanó un backup o algo similar, no tiene la culpa, pongamos el ejemplo, yo le cuento algo a un conocido, ese conocido lo anota en un papel y lo deja sobre la mesa (eso equivale a un método de encriptación simple), viene alguien lo ve y lo publica, el culpable no es el que lo publica sino el que lo dejó al alcance de la mano mala del que lo publicó.

Ayer a la siesta en twitter había opiniones de todo tipo, había comentarios irónicos diciendo “hoy todos son expertos en seguridad” haciendo referencia a los que pegábamos a geelbe por usar un sistema de encriptación que ni siquiera merece ser llamado así, todos no éramos expertos en seguridad y yo menos, es mas si hay una rama de las ciencias de la computación que siempre miré poco es esa, NO HACE FALTA SER EXPERTO EN SEGURIDAD PARA DARSE CUENTA DE QUE NO PODES GUARDA LAS CLAVES ASÍ.

Me puse un poco pesado al ver como varios defendían a geelbe diciendo cosas como “es internet, esto pasa siempre”, “a cualquiera le puede pasar”, lo que mas bronca me dio fue el amiguismo y el intento de defender algo que no se podía defender, esto me hacía acordar a una frase de barrio que decía mas o menos así

Cuando se emborracha un pobre todos dicen “borrachón”, cuando se emborracha un rico,” que alegrito va el señor”

El caso es así , como le pasó a geelbe “el club privado de compras” que salió en los diarios con bombos y platillos indicando que estaban creciendo enormemente, que recibieron buena guita en inversiones, “fue un error humano, a cualquiera le puede pasar, pasa siempre en internet”, en cambio si llegaba a pasarle a cualquiera de los verdaderos emprendedores que hay en nuestro país que inician un proyecto nuevo con las pilas como único recurso disponible, me juego la vida que los mismos que defendieron a geelbe iban a poner toda su fuerza 2.0 para destrozarlo.

Las cagadas son cagadas las haga quien las haga, dijeron que fue un error humano, para mi no fue así, un error humano sería que se te corra un <div> y se te desencaje el sitio en Internet Explorer 5, esto fue un error ESTUPIDO, que NO te puede pasar.

Ahora otra cosa que pensaba ayer, no se quien habrá invertido la guita en geelbe y que salió en los diarios, espero que sea alguien que no tenga muchos conocimientos de seguridad y que no vea el grave error que cometieron al no proteger correctamente la información de los clientes, si eso es así mejor, en caso de que el inversor entienda la gravedad del  problema, le va a costar recobrar la confianza, cosa que sin dudas va a golpear a las nuevas start-ups que se inicien y pretendan obtener algún dinero de el/ellos.

Pido disculpas si alguien se ofende, no puedo evitar enojarme, el error es comparable con una falta de ortografía en un titulo de un diario para un periodista o con un medico que opera sin guantes de latex.

Tags: , , ,

Busquedas Relacionadas
  1. 9 Comentarios en “Geelbe club privado (de seguridad) de compras”

  2. Por Eric Londaits el dia 25 de March de 2010 | Responder

    Creo que es peor que lo que decís… porque si aparece un error de ortografía en el diario puedo creer que fue un lapsus momentaneo, o una palabra de entre miles en la que justo el editor le pifió.

    … Tener las passwords sin hashear no es un accidente, es un error basado en no cumplir una de las prácticas más básicas, comunes e históricas de seguridad informática.

    … Sería más bien como que un cirujano entre a operar sin lavarse las manos (no por omisión, sino deliberadamente y a la vista de sus colegas).

    Yo no entiendo a toda esta gente que dice “Aprendamos de los errores”, “Pongamos el pecho”, “Apoyemos en equipo como si nos hubiera pasado a nosotros” y todo eso… es un sitio de e-commerce, al cuidado de información financiera vital (sin necesidad de acceder a los números de tarjeta podrían haber usado mails y passwords para hacer una campaña de phishing bien creíble). Una empresa que en las buenas nos va a sacar toda la guita que pueda, y en las malas (ayer) tiene el potencial de cagarnos la vida con algo tan simple como una infección de virus o tan jodido como todos los casos de robo de identidad que ocurren diariamente en el mundo.

  3. Por Germán el dia 25 de March de 2010 | Responder

    OK, fue un error TERRIBLE, ponele que hasta ahí te sigo. Entonces? Que cierren? que se quede sin trabajo la gente que trabaja ahí?
    No los conozco, pero admiro lo que hicieron y lograron con Geelbe.
    Sí, creo que se mandaron una cagada de seguridad, pero entonces? Por qué las ganas de ver “muerte y sangre”? Los tipos actuaron bien, no se escondieron ni metieron la mugre abajo de la alfombra, comunicaron a todos lo que pasaba y creo que demostraron que sí les preocupa la seguridad, porque otros hubieran escondido el error, hechado la culpa a un empleado infiel o algo así y listo.
    Lo que no entendí de ayer, como te dije, es las ganas de ver sangre de algunos… por qué tanta bronca?
    Desde mi lugar, soy usuario de geelbe y lo voy a seguir siendo, cambié mi clave y la cambié en otros lugares que la usaba, y les agradezco porque, a diferencia de otros, me avisaron para que lo haga.

  4. Eric estoy de acuerdo con vos.

    En cambio con vos German,

    primer punto: si ami me pasa esto, patada gigante en el culo a los programadores, a todos y cada uno de ellos.

    segundo punto: si ami me pasa esto, cierro y pongo un hermoso banner de muchas gracias para todos lo que compraron.

    tercer punto: 30 (treinta) millones (fail mio :P) 3 millones en inversiones recibieron, me vas a decir que no pueden pagar a programadores capacitados que hagan un laburo bien hecho.

    cuarto punto: no es querer ver correr sangre, es simple, errores como estos hacen que todos los programadores seamos metidos en la misma bolsa que están los payasos que desarrollaron esto, no deja como poco creibles e incapaces de llevar proyectos de importancia adelante.

    quinto punto: uno de los founders, salio en tono burlon a decir que “el que hace se equivoca y aprende , el que no hace critica”, que no me venga con frase armada, se mandaron una cagada grande, perdieron la confianza de los usuarios que es lo mas valioso.

    sexto punto: cuando vi a bercun hablar en barcamp mostrando el enorme crecimiento de la empresa, cosa que me gustó en ese momento por ser argentina, me alegré cuando decia que hay que ponerse las pilas y que si le metes ganas se puede… todo humo mucho huuuumo, el tipo vendia lindo, es chamuyero como muchos abogados, vendio bien, cobró y ahora por no invertir la plata para proteger a sus usuarios tiene un quilombo enorme.

    octavo punto: lo de la forma de avisar y pedir disculpas es comparable a que yo venga con un palo, te parta el lomo a palazos y cuando estas tirado agonizando te diga, “perdoname, no era mi intension, le podría haber pegado a cualquiera”.

    Mierda, escribí otro post entero, german, si tenés algo mas que decir, decime, si me pongo a pensar puedo sacarte muchos puntos mas.

    Un abrazo, gracias por comentar.

  5. Por Germán el dia 25 de March de 2010 | Responder

    elteto
    Primero, ojalá nadie que trabaja con vos se equivoque, porque se quedan TODOS sin trabajo, por lo que decis, al primer error cerrás? No te creo.
    Por otro, recibieron 3 millones, es muuuucha guita igual, pero ya que vas a hablar, informate antes 🙂
    Lo de los programadores, hay buenos y malos, mejores y peores, es parte del mercado, este y cualquier otro. Yo también soy desarrollador freelance, y la verdad, no me siento alcanzado por los problemas de otro, lo demuestro con mi trabajo y punto.
    Por la frase, la verdad estoy de acuerdo. En tu caso quizás no, porque nunca te equivocaste, o te mandaste una cagada. Yo si, y la verdad aprendo… Vos sabes si realmente hubieras cerrado la empresa? estás exagerando, a tal punto, que ya no es creible…
    Podés comparar esto con cagar a palazos a alguien?
    De nuevo tus críticas llegan a un nivel de no razonables, que parece que tenés algún interés en contra, de Geelbe o de alguno de los que laburan ahí. Si lo tenés, todo bien, pero entonces decí desde donde hablás, porque no es lógica tu actitud ni a palos!

  6. German, yo no hablo desde ningún lugar, no tengo intereses en nada.
    Me he equivocado muchisimas veces, pero jamás en algo que pueda afectar a los demás, cuando hay algo que puede dañar a otros, me asesoro y pregunto hasta encontrar la mejor alternativa.
    No es cuestión de saber todo, hay que saber a quien preguntar.
    Lo de “al primer error cerras” , si llego a cometer un error de este tipo, si, no estoy hablando de cualquier error.
    Vos laburas por tu cuenta por lo que veo, y si podés hacerlo y podes vivir de eso, es genial, es lo mas lindo que hay, en cambio si estas en relación de dependencia, las cosas cambian, las magnitudes de los errores cambian y hace que una pequeña cosa que puede ser simple, te mueva el piso y te haga caer.
    “La cadena es tan débil como el eslabón mas débil”, ser manager de un proyecto no es solo poner la cara en las buenas y en las malas, ser manager implica reforzar esa cadena lo mas que tus facultades den para minimizar los potenciales problemas y hacer que tu negocio crezca.

    Me gusta que comentes y expongas tu punto de vista, es lo mas lindo del blogging, espero puedas sacar algo bueno de esta “charla” como yo lo estoy haciendo.

  7. german, tenès razon, me equivoquè con el monto :), disculpas.

  8. yo creo que si muchos no hubieran salido a defender lo indefendible, no se hubiera generado tanto quilombo. O sea, se produjo el efecto contrario al que querían, en vez de disminuir las críticas, las potenciaron.
    O sea, el lío no fue por el error cometido en sí, sino porque mucha gente (que no sabe nada de programación y seguridad) salió a defender puntos que son indefendibles.

    Y eso pasa muchas veces, incluso a nivel cotidiano. ¿Nunca les pasó de meterse en una discusión menor entre hermanos y que eso genere una disputa aún mayor?

    Imagino que si eso no pasaba, la cosa hubiera pasado sin pena ni gloria. Así como imagino que si los passwords hubieran sido usados para perjudicar a sus dueños (cosa que afortunadamente no pasó) se hubiera armado la gorda, mucho peor aún.

    Y seamos honestos y pongamos TODAS las cartas sobre la mesa. Así como es innegable que hubo quienes defendieron a geelbe más de lo debido y que obviamente era por “amiguismo”, también es cierto que muchos criticamos duramente, porque no eran nuestros cuellos los que estaban en juego obvio y porque criticar es gratis.

    Como dijo alguien por ahí en twitter. A los programadores les pareció un “error gravísimo” porque sabemos de qué se trata (pero por otro lado no consideramos otros aspectos) y a los “emprendedores” les pareció un “error que a cualquiera le puede pasar” porque obviamente como emprendedores nos tocó por el lado de la empatía, todo el que emprende “ata con alambre” alguna que otra vez, por muy pecaminoso que pueda sonar, es la pura realidad.

    Creo que nos extralimitamos en ambas posturas. Una muy defensiva y una muy crítica.

  9. Hola, yo intento registrarme en Geelbe, y me dice que está bloqueado por cuestiones de seguridad; pero yo no quiero registrarme para comprar, yo solo quiero registrarme porque en un sitio Web me lo pide. Me registro o no? Les pediría respuestas porfavor, necesito registrarme cuanto antes.

  1. Trackback(s)

  2. 25 de March de 2010: Bitacoras.com

Hacé un comentario en el post, participá!!!