Mantener una web segura es una tarea dura y pesada, pero el problema se vuelve algo más complicado cuando accidentalmente se publica la contraseña en texto plano en una tus páginas web con mayor tráfico.

Tal metedura de pata ha podido permitir a visitantes no autorizados tener acceso a ficheros por más de seis meses en un servidor manejado por Carmichael Lynch, una empresa de relaciones públicas y publicidad con algunos clientes de renombre. La contraseña del administrador fue expuesta por error en una página online que contenía ofertas de trabajo.

Entre los archivos potencialmente expuestos: documentos internos, bases de datos de clientes (entre ellos, Porche y American Standard). Carmichael Lynch remedió su error a finales de año. La página en cuestión, reproducida aquí contenía en un enlace la contraseña en texto plano que usaban los administradores para subir listas de trabajos. Antes de ser resuelto el problema, cualquier usuario de Internet podía abrir ficheros alojados en el servidor simplemente modificando la dirección en el enlace.

Un portavoz de la compañía afirmó que no tienen constancia de que usuarios no autorizados aprovecharan este problema de seguridad para comprometer sus servidores. El problema, según el portavoz, venía del software usado para publicar la web, FrontPage de Microsoft, que añadió código embebido sin motivo aparente.

El problema de Carmichael Lynch no sólo afectaba a la propia compañía. Los datos de 12000 personas registradas en la web de American Standard entre abril y septiembre de 2002, sus contraseñas, correos e información de contacto, también eran accesibles desde la web con el error encontrado.

La mayor de las precauciones a la hora de securizar servidores, o la elección más compleja de las contraseñas, no sirven de nada ante despistes de este tipo.


Sergio de los Santos
www.forzis.com