En el día de ayer Nintendo Ibérica informaba a los medios que había sido víctima de un importante robo de datos personales mediante técnicas de 'hacking', insinuando que el atacante estaba intentando extorsionar a la compañía. Ante la gravedad del tema, también creímos el comunicado y nos hicimos eco de la noticia, sin ser conscientes de que el caso estaba siendo vivido en primera persona en nuestros propios foros...
#6:
La noticia de EOL es claramente partidista y pasa por alto el e-mail del susodicho.
Las palabras del chaval suenan a chantaje, aquí y en Tegucigalpa.
Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.
Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.
Si está interesado en ponerse en contacto conmigo, por favor no dude en llamar al número de teléfono [...]. También me podrá encontrar el próximo [...] a las [...] en [...], donde precisamente acudiré a probar el producto promocionado por la campaña.
Una cosa es que Nintendo o la empresa subcontratada cometa un error de seguridad y otra es que defendamos a un chaval que claramente quería aprovecharse, si creía que Nintendo había hecho mal que hubiese denunciado directamente.
#8:
Realmente suena a chantaje, por mucho que ahora diga que no.
Y su segundo mail simplemente termina de hundirlo un poco más:
"Al no haber recibido respuesta por su parte, entiendo que la empresa que Usted dirige no tiene ningún reparo en afrontar las consecuencias legales y económicas de su infracción. Por lo tanto, salvo que en los próximos días se me comunique oposición por su parte, el proceso de denuncia continuará adelante con entrega de la documentación ante la Agencia de Protección de Datos prevista para el próximo lunes 14 de febrero."
Es decir, así de primera impresión (siguiendo el principio de la Navaja de Ockham) pensaría: el tipo encontró el fallo e intentó chantajearlos para que le regalaran una N3DS a cambio de no denunciarlos.
A ver que pasa después.
#18:
Éste es el complejo proceso de hackeo comentado por el supuesto hacker en el hilo original:
1. Acceder a http://admin.pruebayveras.com .
2. Pulsar Enter, sin introducir usuario ni contraseña.
3. Voilà!
#12:
#11"Se habla de "negociar", puede significar cualquier cosa. Una recompensa por el descubrimiento totalmente merecido. O simplemente una recompensa a cambio de no denunciarles tal y como se merecen."
Negociar no puede significar cualquier cosa, no significa saltar ni torpedear ni significa perro, negociar en este contexto encaja con una de las definiciones de la palabra: "Tratar asuntos públicos o privados procurando su mejor logro."·
Y lo que dices de "una recompensa a cambio de no denunciarles"...has definido chantaje...Chantaje , es la amenaza de difamación pública o cualquier otro daño [en este caso revelar su fallo de seguridad con la consiguiente multa] para obtener algún provecho pecuniario o material de alguien [en este caso la recompensa que dices] u obligarlo a actuar de una determinada manera.
Que Nintendo la caga esta claro, pero el chaval se luce también, las dos partes tienen lo suyo.
#65:
Manu1oo1 escribió:
Recapitulemos. Por que Gecko la ha cagado de tantas formas, que es difícil no verlo.
Un usuario encuentra "por casualidad" una forma de acceder a los datos de usuario. Primer punto discutible. Un usuario no intenta acceder al panel de administración "por casualidad". Hay una intencionalidad obvia, y eso puede ser interpretado como hacking por cualquier juez. Por muy simple que sea la forma de acceder.
Luego, y con fines aún no aclarados, saca copia de los datos allí contenidos. Y van dos. Como bien se ha dicho, una cosa es que encuentres una puerta de un coche abierta, y otra bien distinta que te metas y te lo lleves. Y ni eso. Antes, habías buscado la "llave". Y lo que es peor en este caso, has accedido a datos privados de caracter personal a los que no tienes acceso legalmente. ¿Y por qué digo eso si la puerta estaba "abierta"? (que va a ser que no a efectos legales). Pues por que en una BD registrada en la LOPD (y no me cabe duda de que esta lo estaba), únicamente tienen acceso de forma legal su administrador, y aquellos usuarios que él mismo designe. Por ejemplo, si te encuentras un CD con datos por la calle y no lo entregas de inmediato, el simple hecho de introducirlo en tu ordenador es delictivo. Podéis informaros si queréis. Yo ya tuve que hacerlo (y bien a fondo) por motivos de empresa, y así son las cosas.
Más tarde, anuncia a los cuatro vientos, no sólo que los tiene, sino que ha accedido a ellos. Otra enorme cagada. Y además, pone como prueba las iniciales de un usuario y la letra de su DNI, vanagloriándose de ello. Eso agrava (y de forma extraordinaria) el punto anterior, ya que queda probado que se llevó los datos, los introdujo en su ordenador, y accedió a ellos, delito contemplado claramente en la LOPD con graves sanciones.
En lugar de INMEDIATAMENTE, comunicar a Nintendo la vulnerabilidad, intenta "negociar" con ellos. No tengo por que dudar de la palabra de esta persona, pero esto APESTA a kilómetros. Y sobre todo por un detalle en el que no se ha incidido lo bastante. Si os fijáis, en ningún momento aclara a Nintendo CUÁL ES LA FORMA en que se accede a los datos. Tan sólo habla de "una vulnerabilidad". Es decir, cualquier juez con dos dedos de frente interpretará que su intención no era solucionar dicho agujero (o se lo hubiera comunicado para que procedieran a su arreglo), sino que les da "como prueba" un extracto de los datos accesibles. Otra enorme cagada (y van...). No solo vuelve a probar que ha accedido a los datos, sino que deja claro que quiere "enseñar su trofeo" con el fin de que Nintendo se preste a la "negociación". Por si no lo creen, vaya... ¿No hubiera sido más fácil (y honrado) aclararles cuál era la famosa puerta trasera, y así no hubiera cabido necesidad de más "pruebas"? En serio, ahora se podrá explicar como se quiera, pero los jueces van a interpretar esto MUY MAL.
Una vez Nintendo encuentra la vulnerabilidad, en lugar de felicitarlos por ello, les escribe un nuevo correo en un tono de frustración evidentísimo, en el que, contra todo rastro de cordura, vuelve a incidir en esa "negociación" y... ¡les da un plazo para ello!. Esto, directamente, es de locos. ¿Como que "salvo que en los próximos días se me comunique oposición por su parte, denunciaré"? ¿Qué tiene que "oponer" Nintendo? ¿Un delincuente puede "oponerse" a que lo denuncies? No, de nuevo ningún juez en su sano juicio (valga la redundancia) interpretará eso más que en la línea que parece que va... Negociemos, lleguemos a un acuerdo, y negaré hasta que el cielo es azul... Solo más tarde, cuando ve que esto se le ha ido de las manos, publica en EOL la forma de acceder a los datos... más como descargo suyo (¿veís lo fácil que era?) que otra cosa. Y hasta hoy.
Sinceramente, cuanto más leo acerca de esto, peor me huele... y peor me temo que va a acabar. A Nintendo le caerá una buena multa (posiblemente por encima de los 60.000 euros, sanciones que he visto por cosas menos importantes), pero al forero le va a caer la del pulpo. Y lo siento, pero es que esto no tiene defensa posible. Como mucho (su abogado se lo confirmará) podrá agarrarse a que el chantaje no es evidente (por eso de que no pide "nada" a cambio, aunque lo insinúe), con lo que se libraría de penas de prisión. Pero la multa (y gorda), creo que va a ser inevitable. Ahora si que haría bien en negociar con Nintendo, aunque eso tampoco le va a librar (la AEPD actua de oficio). Pero puede que le reduzca el importe de la multa y le librará de las costas de un juicio por amenazas que puede ser largo y muy costoso.
Es lo que pasa por jugar con fuego.
Manu1oo1
PD) Se me olvidaba esto...
Cita:
Si has puesto tus datos personales en una web, al menos tienes derecho a saber que tus datos se encuentran en buenas manos. Si descubres que cualquiera puede acceder a tus datos por un método tan obvio, es normal que intentes avisar por medio a que tus datos puedan ser usados por cualquier tercero, y que tomes capturas y grabaciones como prueba de tal irresponsabilidad. Lo dela carta ya es otra historia...
Meeec. El hecho de que haya datos tuyos en una BD no te autoriza a acceder a ella sin ser usuario autorizado. Es de cajón. Si no, registrarme en cualquier sitio me legitimaría para hackearlo "para ver si están seguros". No le déis más vueltas. Los únicos que tienen permiso para acceder a una BD, son el administrador de los datos, y aquellos usuarios que él autorice expresamente, que tienen que constar en el Documento de Seguridad. No cuela.
con esto..ya deberia estar todo claro
#2:
Ahora es importante que elotrolado se mantenga neutral, simplemente manteniendo los mensajes que fueron escritos. Con ellos puede realizarse una buena defensa, alegando buenas intenciones. Un -1 para Nintendo y su persecución a los internautas / aficionados a la seguridad. Por cierto, ¿será la primera victima de la nueva reforma del código penal que tipifica esto como delito?
La noticia de EOL es claramente partidista y pasa por alto el e-mail del susodicho.
Las palabras del chaval suenan a chantaje, aquí y en Tegucigalpa.
Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.
Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.
Si está interesado en ponerse en contacto conmigo, por favor no dude en llamar al número de teléfono [...]. También me podrá encontrar el próximo [...] a las [...] en [...], donde precisamente acudiré a probar el producto promocionado por la campaña.
Una cosa es que Nintendo o la empresa subcontratada cometa un error de seguridad y otra es que defendamos a un chaval que claramente quería aprovecharse, si creía que Nintendo había hecho mal que hubiese denunciado directamente.
#7#9 La excusa que da el chaval es bastante pobre, me recuerda a Francisco Camps con lo de los trajes .
Lo que dice el chaval acerca de la "negociación": "Esperaba contrastar los hechos de la denuncia. Más que nada saber si el fichero de datos estaba bajo custodia de ellos o de 8media para así denunciar en consecuencia."
Para mi esto no cuela, negociar y contrastar son dos cosas muy distintas, aparte de que el chaval dijo en principio que quería llegar a un acuerdo haciendo hincapié en lo mucho que le interesaban sus productos y que iba a estar en uno de sus stand . Mal por el chaval por querer aprovecharse y mal por Nintendo por la deficiente seguridad (sea culpa suya o de la empresa contratada)y por la tonterías de técnicas de hacker, que de hacker el asunto ha tenido poco...
#9 Uh, uh... Si lo que quería el chaval es, como dice #10, contrastar datos, ¿a santo de qué? Si ves un fallo de seguridad que compromete datos de miles de personas, o bien te cae muy bien la empresa responsable (porque eres usuaria de sus productos, etc.) y les avisas para que lo corrijan y no salgan muy perjudicados, o bien te da lo mismo lo que les pase y denuncias directamente a Protección de Datos, y ya depurarán ellos responsabilidades a la empresa que corresponda.
#11 Vamos, decir "o negocian o les denuncio y hago pública su metedura de pata" se parece MUCHO a un chantaje, intentando aprovecharse, precisamente, de que lo de Nintendo es un delito e intentando negociar para no denunciarlo y hacerlo público.
#31 ¿Te has leído el segundo e-mail del chaval? Está en #8, y dice precisamente eso: "si no queréis negociar [¿el qué?] os denunciaré y lo haré público". Porque no es lo mismo que le digas a Nintendo "he descubierto ya no un fallo, sino un delito, y os voy a denunciar" y que sean ellos los que te ofrezcan una contraprestación por no hacerlo, que pedírsela tú directamente.
#35 El segundo e-mail puede sonar a lo que dices, pero también puede sonar a queja de no recibir respuesta. Dice "salvo que [...] se me comunique oposición por su parte". Que no es literalmente: "Salvo que me deis pasta" aunque pueda serlo, ya que puede referirse por ejemplo a lo que él decía, de denunciar a 8media en lugar de a Nintendo.
De cualquier modo, sea cierto o no que quisiera obtener algo a cambio que tampoco lo veo raro, lo que seguro que no es cierto es el comunicado que parece haber enviado Nintendo a diversos periódicos. Porque en los periódicos se habla de diversos métodos de hacking (para no decir que dejaron la puerta abierta a mis datos entre otros, violando mi privacidad y la de otros), de que tiene nuestros teléfonos y dirección (no se pedían esos datos, codigo postal sí), de que el "hacker" pedía cosas a cambio de los datos robados (en todo caso era a cambio de no denunciarlos, y no está demostrado)... en fin ¡Injurias y calumnias!
Y desde luego si quería denunciarlos alguna prueba debía de tener, por eso obtuvo muestras de los datos y capturas del proceso de acceder a ellos. De hecho sus datos estaban ahí, abiertos para cualquiera, no era un hacker, sino un usuario quejándose de que sus datos los podía coger alguien con mala intención.
Yo estoy tranquilo de que él haya descubierto que no tuviera ninguna seguridad y que no lo haya descubierto otro que usara los datos para cualquier otra cosa... Que en realidad no sé si eso ha ocurrido, porque cualquiera pudo obtener esos datos privados a los que se podía acceder públicamente y no haber avisado a Nintendo ni a nadie... Espero que no y que adan_gecko "el hacker" nos haya salvado!
#40 Es que el no tiene por qué denunciar a 8media en vez de a Nintendo ni nada por el estilo. Lo único que tiene que hacer es ir a Protección de Datos, dar el URL y el método de acceso, Protección de Datos los comprobará y ya le meterá caña a quien tenga que metérsela. Lo que ha hecho el chaval, incluso si lo hacía de buena voluntad, es meterse en camisa de once varas, intentando negociar de un modo confuso, que induce a pensar en chantaje, con una empresa cuyos abogados se cuentan por cientos.
Resumiendo, como poco ha pecado de tonto, y puede que en realidad se haya pasado de listo queriendo negociar no sé qué a cambio de no hacer público un delito, algo que se asemeja pero muy mucho a un chantaje.
#50 No sé, sigue sin parecerme chantaje, sino intento de llegar a un acuerdo. No es lo mismo. Si tú compras algo y le falta una pieza, ¿denuncias al vendedor? No lo creo, irás a la tienda primero para llegar a un acuerdo, que bien puede ser devolución de dinero, cambiarlo por otro, un vale regalo en la tienda... Y si te dicen que no te dan nada, que les da igual que falte una pieza, entonces puede que los denuncies.
Y en muchos casos de la justicia, aunque yo no sepa mucho del tema, creo que se llega a acuerdos por ambas partes para evitar la denuncia. En ese caso se debería firmar algo de que se ha llegado a tal acuerdo y no va a denunciar imagino. Si las intenciones de adan_gecko eran esas no creo que estuviera cometiendo ningún delito y se ven lógicos sus mensajes de "veo que no quieres llegar a un acuerdo así que voy a denunciarte" ya que no le contestaban y el de "negociación dialogante por la cual lleguemos a un acuerdo"...
Es mi humilde opinión, y voy a denunciar a Nintendo a la protección de datos por no proteger los mios.
#57 En el primer e-mail ya dijo que era motivo de denuncia pero que quería llegar a un acuerdo. No creo tener un grave problema como dices... se pueden ver lógicas las dos posturas y no decir que los que opinamos que no es chantaje tenemos un problema.
En mi comentario #52 digo porqué no me parece chantaje, no sé si lo has leido para discutirlo debidamente, que me gusta
Una cosa es que como dices compres algo y te viene defectuoso o pagas por un servicio que no te lo dan como te lo prometieron donde claramente sí que estas en tu derecho de exigir una compensación, pero otra muy distinta es que hayas ido a su fabrica, te hayas colado dentro (sin autorización, aún si tenían la puerta abierta) y te hayas topado, no se, conque se robaban el agua del pueblo o no pagaban la electricidad, y les hayas dicho "A ver, esto puede terminar mal para ustedes a menos que nos sentemos a negociar".
Eso es un chantaje aquí y en China. Distinto es que les digas "A menos que arreglen sus errores los voy a denunciar", y estés vigilando que Nintendo corriga el error, tras lo cual ahí quede todo (esto es lo que suelen hacer los llamados White Hat Hackers) o que de plano los denuncies directamente (donde el avisarles o no sería irrelevante para el caso ) a que les pidas algo a cambio de no interponer la denuncia.
#60 Enviar un e-mail a Nintendo no es mantenerse a la espera, sea por conseguir algo o no, no se mantuvo a la espera. Y si no lo hizo público fue precisamente para que no se metiera más gente mientras no había seguridad. Fue cuando cambiaron la página cuando avisó en el foro de lo ocurrido. Por ese entonces Nintendo aun no había contactado ni con él ni con la prensa, así que tampoco lo publicó por salvar su imagen sino por avisar.
Más tarde, Nintendo comunicó a los medios con un poco de verdad y mucho de mentira lo ocurrido, y denunció al chaval. No creo que fardara de ser buen ciudadano.
#59 ¿hasta que punto puede ser ilegal entrar por una puerta abierta en internet? ¿Me quieres decir que si yo introduzco www.probandoaversiexiste.com y dentro hay datos privados, he cometido un delito?
Dudo que sea ilegal escribir "www.admin.pruebayveras.com" en el navegador (que fue lo que hizo seguramente para asegurarse que sus datos no estaban visibles para cualquiera), sería ilegal si eso tuviera contraseña usar métodos para averiguarla y robar los datos...
Él estaba registrado en la página por lo que aceptó la política de privacidad en la que Nintendo se hacía responsable de guardar sus datos para que nadie pudiera acceder. No era así, así que es un cliente que avisó de denunciar o llegar a un acuerdo, que si el acuerdo al que se refería era un acuerdo legal (para no llegar a denunciarlo) no veo nada malo y no se llama chantaje. Pero como Nintendo no se puso en contacto con él, decir que chantajeaba son otra vez ¡injurias y calumnias!
Sobre el #61 no lo entiendo muy bien, pero lo que hizo Nintendo si constituía delito y no vi mala conducta por ningún lado.
#62 Aquí el carácter legal o ilegal de la intrusión no es relevante. Lo importante es que si con ello fuiste testigo de un delito (la exhibición de datos privados) y en lugar de denunciarlo intentaste sacar un beneficio de ello al solicitar una bonificación a cambio de quedarte callado, sí que eres culpable de extorsión. Y eso no quita que el delito original (de Nintendo) deba ser investigado.
¿Qué iba a negociar? ¿Un acuerdo judicial de qué? Eso simplemente no se sostiene. Si lo que quería negociar era que arreglaran el error para no denunciarlos, eso se hizo y él en lugar de dejarlo ahí siguió con sus amenazas en su segundo mail. ¿A que venía eso? Se notaba que él sí quería algo a cambio, no de el haberles informado, sino de no acusarlos. Eso es chantaje de libro. ¿O acaso quería una copia certificada de que se comprometían a mejorar su seguridad? Juas.
Ahora bien, desde el momento en que accedes a una parte de un sitio el cual no está diseñado para que tú lo uses, sin importar que lo hayas hecho gracias a un error humano, un bug, un super ataque hacker o a la conjunción de Jupiter con Saturno, y trates de obtener un beneficio material de dicha intrusión yo creo que sí es punible.
#9 Yo creo que hasta un juez entendería que es un chantaje. Si tu conoces un chantaje en la historia de la humanidad en que se diga "Chaval voy a chantajearte..." avísanos de cual. Los chantajes se hacen sin pronunciar la palabra chantaje.
Es evidente que el chico tiene tres opciones: denunciar, no denunciar o "negociar" con Nintendo, es decir, cobrar por no denunciar, lo que popularmente se llama chantajear.
#11 No es así porque en el email vincula la interposición de la denuncia a esa negociación. Para que fuera como tu dices y no fuera chantaje debería dejar claro que no pone la denuncia sea cual sea el resultado de esa negociación.
Además que Nintendo cometa una falta administrativa (que no delito) que será penado en su momento por la APD, no es excluyente de que el chico cometa un delito.
#6#8 No es un chantaje. Nintendo es quien comete el error y el delito en primer lugar. Y si todo funciona bien le caerá la correspondiente multa estratosferica.
Se habla de "negociar", puede significar cualquier cosa. Una recompensa por el descubrimiento totalmente merecido. O simplemente una recompensa a cambio de no denunciarles tal y como se merecen.
Nintendo ha aprovechado su dominio de los medios para "controlar el daño" (el daño causado por su negligencia) culpando al chaval que no tiene culpa de nada.
Hoy escuché la noticia en la radio "version nintendo" y la cosa pintaba como si un hacker ruso les hubiese dado 24 horas para que le ingresen 50.000 euros. Cuando por lo visto la realidad es que Nintendo cometio un error colosal y una persona les avisó por email con buena fé y poco más.
#11"Se habla de "negociar", puede significar cualquier cosa. Una recompensa por el descubrimiento totalmente merecido. O simplemente una recompensa a cambio de no denunciarles tal y como se merecen."
Negociar no puede significar cualquier cosa, no significa saltar ni torpedear ni significa perro, negociar en este contexto encaja con una de las definiciones de la palabra: "Tratar asuntos públicos o privados procurando su mejor logro."·
Y lo que dices de "una recompensa a cambio de no denunciarles"...has definido chantaje...Chantaje , es la amenaza de difamación pública o cualquier otro daño [en este caso revelar su fallo de seguridad con la consiguiente multa] para obtener algún provecho pecuniario o material de alguien [en este caso la recompensa que dices] u obligarlo a actuar de una determinada manera.
Que Nintendo la caga esta claro, pero el chaval se luce también, las dos partes tienen lo suyo.
#11 No es un chantaje, es un intento de cutrechantaje hecho por un niñato.
Tu análisis es estupendo, vete a contarlo como testigo en la defensa del niñato. No soy abogado, pero algo me dice que en derecho, un chantaje es un chantaje, independientemente de que se lo hagas a un inocente o a un criminal. Nadié discute el error, incurriendo en delito, de Nintendo. Pero eso no justifica el chantaje, ni moralmente ni legalmente.
#6 Sí, ciertamente es la sensación que da: si llegamos a un acuerdo (¿acuerdo sobre qué?, ¿una contraprestación pon no denunciar y hacerlo público?), no les denuncio, pero como no han contactado conmigo para negociar (¿negociar el qué?), aténganse a las consecuencias de una denuncia pública (que debería haber hecho desde un buen principio, en vez de "negociar").
La verdad, si no es un intento de chantaje, se le parece mucho.
Realmente suena a chantaje, por mucho que ahora diga que no.
Y su segundo mail simplemente termina de hundirlo un poco más:
"Al no haber recibido respuesta por su parte, entiendo que la empresa que Usted dirige no tiene ningún reparo en afrontar las consecuencias legales y económicas de su infracción. Por lo tanto, salvo que en los próximos días se me comunique oposición por su parte, el proceso de denuncia continuará adelante con entrega de la documentación ante la Agencia de Protección de Datos prevista para el próximo lunes 14 de febrero."
Es decir, así de primera impresión (siguiendo el principio de la Navaja de Ockham) pensaría: el tipo encontró el fallo e intentó chantajearlos para que le regalaran una N3DS a cambio de no denunciarlos.
#18 Es que ese fallo de seguridad lo podría haber descubierto cualquiera. Cualquiera con un poco mas de maldad se hubiera quedado la base de datos y usarla para otros fines no legales.
En cambio, lo único que ha echo adan_gecko (el usuario de EOL denunciado) ha sido de informar de tal fallo a la compañía, una acción que siempre se ha tomado como ética y correcta.
No se, a mi me da la impresión de que ninguno ha jugado limpio:
- El chaval queriendo extorsionar para no sacar un dato a la luz y vendernoslo como si fuera un adalid de la justicia.
- Nintendo salvándose las castañas diciendo que ha sido un hackeo de película.
Ninguno me da pena, pero obviamente el chaval ha pecado de listillo pensando que podía joder tán facilmente a Nintendo.
#21 El problema es que no solo ha informado, sino que ha pedido una "negociación" para no hacerlo público. El segundo email lo deja muy claro.
#23 y #36 No he leído los mails, pero según lo que comentáis vosotros. El descargar datos personales de una BBDD, es posiblemente delito, pero es un descuido muy grande por parte de la empresa que diseño la web.
Es como si alguien de una empresa muy importante se dejase olvidado en un bar una agenda de direcciones de sus clientes.Y si la competencia lo encuentra, seguramente no dudaría en utilizarla en su propio beneficio.
No es igual al caso, pero es algo parecido... quiero decir que si me encuentro una base de datos en internet de libre acceso, cuando no debería de serlo... hay delito en eso por mi parte? me la descarge o no, se puede copiar a mano.
Lo que si estoy de acuerdo es con que NO es nada ético extorsionar a alguien para poder recuperar algo.
#54 No era por recuperar nada, los datos no fueron borrados de la base de datos de Nintendo, otra mentira de Nintendo o bien de los medios que lo dicen.
#21, si lees todo ves que él SÍ guardó la BBDD (o al menos parte de ella): Con respecto a los listados con datos personales que descargué, en la misma declaración manifesté mi intención de borrarlos de inmediato así como no volver a usarlos, almacenarlos o comunicarlos en el futuro.
Yo lo siento pero ahí no veo tan buena intención. Después de leer los mails que mandó a nintendo y luego esto...
Osea tú das con un fallo y ya que estás te guardas parte de la BBDD? Y para qué?
En estos casos siempre es muy bonito hablar a posteriori. Aunque es evidente que nintendo se pasó, no puedes denunciar por esos emails, que minimo primero le hubieran llamado los abogado en plan de "Oye, pero tu de que vas?". Pero vamos, ya tenemos ahi la maquinaria de la industria para imponer su punto de vista de "Malvado hacker piratea y extorsiona" cuando la verdadera noticia "Nintendo hace una chapuza de we y compromete información privada de usuarios" se queda olvidada.
#36 ¿como prueba?, a mi me parece normal que se bajase algo como prueba de que era factible hacerlo. Sino nintendo cambiaba el sistema, le denunciaba por difamacion y claro, el no tiene ninguna prueba de que hubo un error real que permitía el acceso a los datos.
#41 como prueba grabas la pantalla en video. No robas coges lo que hay dentro. Entrar en una página protegida, mal, muy mal, pero protegida, y llevarte datos que no te pertenecen lo veo como si un día te dejas la puerta de casa mal cerrada y yo me llevo tu tele como prueba de que estaba mal cerrada
#45 yo sí, pero sin la 'prepotencia' de recordarte las multas que te van a caer ni empezar a jugar con el chantaje
Un email que diga que los datos están accesibles a todo dios y un cachondeíto en plan "regaladme algo, joe, estiráos " estaría de puta madre
#46 El problema es que Nintendo no puede acceder a regalarte ni una miserable DS por comprar tu silencio. Ya que tu seguirías teniendo las pruebas aunque dijeras que no, y Nintendo habría cometido un delito al intentar comprar tu silencio. Se veían metidos en demasiados fregaos.. Tenían la opción de:
1) Pagar a la Agencia de Protección de datos.
2) Pagar a la Agencia de Protección de datos y además ser culpables de haberte comprado, en caso de que el tema saliera a la luz. Y encima pierden una consola. No lo olvidemos.
#46 Pero entrar y grabar los datos en video por captura de pantalla, es exactamente lo mismo, estas viendo los datos, los estas guardando en tu ordenador... no hay diferencia juridica entre hacer eso y hacer un copy and paste en un documento de texto.
Habría que ver si el delito es realmente guardarse los datos ya sea copiandolos o grrabando un video (que estaban casi publicos, sin un control real del acceeso ni identificación) o compartirlos y esto ultimo no lo ha hecho.
#51 hombre, guardarse una BBDD con datos confidenciales muy legal no es. Podría haber hecho una captura perfectamente y tapando los datos con un borrón mismo, como prueba.
Pero guardarse un dump? Venga hombre!
Y luego eso, que a la zona de admin ha llegado por error? el error de buscarla, porque no había un botón en la web que pusiera "ZONA DE ADMIN" que yo recuerde...
Lo que pasa que le ha salido mal la jugada, y ha sido tonto... ¿Va a poder él con una empresa tochísima? Pues ni él ni yo ni la mayoría de la gente...
Que yo no digo que el asunto no tenga tela, y los que hayan hecho la web se han lucido pero vamos... el señor "hacker" tampoco es que haya sido un santo.. un listo sí.
#27 No, si creo que aqui nadie esta defendiendo eso al fin y al cabo el usuario medio de menéame ya debería estar acostumbrado a la creativa definición de delitos por parte de los "poderosos". Hacking = entrar en una página sin protección, Daño al honor = dibujar una caricatura de una figura pública, Acoso = investigación por parte de la policiía
Si eso es verdad espero que tengan guardados los correos y que una vez resuelto el caso se pongan a la vista de todos y que se pueda "apalizar" publicamente a nintendo por tener unos gestores tan pésimos o a quien sea.
Como dicen más arriba... falta de ética empresarial por parte de Nintendo y de ética personal por parte de los supuestos "DIRECTIVOS" de dicha firma. O falta de educacion del chaval
Les tendrían que poner a la sombra unos dias ante tamaña desfachatez si han hecho abuso.
Espero que la red, si eso es cierto, les dé caña hasta en el carnet de identidad. Eso sin contar lo ejemplar que debe ser proteccion de datos.
Si ésto es verdad...
---------------------------------- #18
Éste es el complejo proceso de hackeo comentado por el supuesto hacker en el hilo original:
1. Acceder a admin.pruebayveras.com .
2. Pulsar Enter, sin introducir usuario ni contraseña.
3. Voilà!
----------------------------------
... no sé yo que tenian que negociar. Eso de el detalle por "avisarlos" no lo veo mal, aunque las formas... si es un chaval va a aprender por las malas a tener buenas formas.
Ahora es importante que elotrolado se mantenga neutral, simplemente manteniendo los mensajes que fueron escritos. Con ellos puede realizarse una buena defensa, alegando buenas intenciones. Un -1 para Nintendo y su persecución a los internautas / aficionados a la seguridad. Por cierto, ¿será la primera victima de la nueva reforma del código penal que tipifica esto como delito?
Manu1oo1 escribió:
Recapitulemos. Por que Gecko la ha cagado de tantas formas, que es difícil no verlo.
Un usuario encuentra "por casualidad" una forma de acceder a los datos de usuario. Primer punto discutible. Un usuario no intenta acceder al panel de administración "por casualidad". Hay una intencionalidad obvia, y eso puede ser interpretado como hacking por cualquier juez. Por muy simple que sea la forma de acceder.
Luego, y con fines aún no aclarados, saca copia de los datos allí contenidos. Y van dos. Como bien se ha dicho, una cosa es que encuentres una puerta de un coche abierta, y otra bien distinta que te metas y te lo lleves. Y ni eso. Antes, habías buscado la "llave". Y lo que es peor en este caso, has accedido a datos privados de caracter personal a los que no tienes acceso legalmente. ¿Y por qué digo eso si la puerta estaba "abierta"? (que va a ser que no a efectos legales). Pues por que en una BD registrada en la LOPD (y no me cabe duda de que esta lo estaba), únicamente tienen acceso de forma legal su administrador, y aquellos usuarios que él mismo designe. Por ejemplo, si te encuentras un CD con datos por la calle y no lo entregas de inmediato, el simple hecho de introducirlo en tu ordenador es delictivo. Podéis informaros si queréis. Yo ya tuve que hacerlo (y bien a fondo) por motivos de empresa, y así son las cosas.
Más tarde, anuncia a los cuatro vientos, no sólo que los tiene, sino que ha accedido a ellos. Otra enorme cagada. Y además, pone como prueba las iniciales de un usuario y la letra de su DNI, vanagloriándose de ello. Eso agrava (y de forma extraordinaria) el punto anterior, ya que queda probado que se llevó los datos, los introdujo en su ordenador, y accedió a ellos, delito contemplado claramente en la LOPD con graves sanciones.
En lugar de INMEDIATAMENTE, comunicar a Nintendo la vulnerabilidad, intenta "negociar" con ellos. No tengo por que dudar de la palabra de esta persona, pero esto APESTA a kilómetros. Y sobre todo por un detalle en el que no se ha incidido lo bastante. Si os fijáis, en ningún momento aclara a Nintendo CUÁL ES LA FORMA en que se accede a los datos. Tan sólo habla de "una vulnerabilidad". Es decir, cualquier juez con dos dedos de frente interpretará que su intención no era solucionar dicho agujero (o se lo hubiera comunicado para que procedieran a su arreglo), sino que les da "como prueba" un extracto de los datos accesibles. Otra enorme cagada (y van...). No solo vuelve a probar que ha accedido a los datos, sino que deja claro que quiere "enseñar su trofeo" con el fin de que Nintendo se preste a la "negociación". Por si no lo creen, vaya... ¿No hubiera sido más fácil (y honrado) aclararles cuál era la famosa puerta trasera, y así no hubiera cabido necesidad de más "pruebas"? En serio, ahora se podrá explicar como se quiera, pero los jueces van a interpretar esto MUY MAL.
Una vez Nintendo encuentra la vulnerabilidad, en lugar de felicitarlos por ello, les escribe un nuevo correo en un tono de frustración evidentísimo, en el que, contra todo rastro de cordura, vuelve a incidir en esa "negociación" y... ¡les da un plazo para ello!. Esto, directamente, es de locos. ¿Como que "salvo que en los próximos días se me comunique oposición por su parte, denunciaré"? ¿Qué tiene que "oponer" Nintendo? ¿Un delincuente puede "oponerse" a que lo denuncies? No, de nuevo ningún juez en su sano juicio (valga la redundancia) interpretará eso más que en la línea que parece que va... Negociemos, lleguemos a un acuerdo, y negaré hasta que el cielo es azul... Solo más tarde, cuando ve que esto se le ha ido de las manos, publica en EOL la forma de acceder a los datos... más como descargo suyo (¿veís lo fácil que era?) que otra cosa. Y hasta hoy.
Sinceramente, cuanto más leo acerca de esto, peor me huele... y peor me temo que va a acabar. A Nintendo le caerá una buena multa (posiblemente por encima de los 60.000 euros, sanciones que he visto por cosas menos importantes), pero al forero le va a caer la del pulpo. Y lo siento, pero es que esto no tiene defensa posible. Como mucho (su abogado se lo confirmará) podrá agarrarse a que el chantaje no es evidente (por eso de que no pide "nada" a cambio, aunque lo insinúe), con lo que se libraría de penas de prisión. Pero la multa (y gorda), creo que va a ser inevitable. Ahora si que haría bien en negociar con Nintendo, aunque eso tampoco le va a librar (la AEPD actua de oficio). Pero puede que le reduzca el importe de la multa y le librará de las costas de un juicio por amenazas que puede ser largo y muy costoso.
Es lo que pasa por jugar con fuego.
Manu1oo1
PD) Se me olvidaba esto...
Cita:
Si has puesto tus datos personales en una web, al menos tienes derecho a saber que tus datos se encuentran en buenas manos. Si descubres que cualquiera puede acceder a tus datos por un método tan obvio, es normal que intentes avisar por medio a que tus datos puedan ser usados por cualquier tercero, y que tomes capturas y grabaciones como prueba de tal irresponsabilidad. Lo dela carta ya es otra historia...
Meeec. El hecho de que haya datos tuyos en una BD no te autoriza a acceder a ella sin ser usuario autorizado. Es de cajón. Si no, registrarme en cualquier sitio me legitimaría para hackearlo "para ver si están seguros". No le déis más vueltas. Los únicos que tienen permiso para acceder a una BD, son el administrador de los datos, y aquellos usuarios que él autorice expresamente, que tienen que constar en el Documento de Seguridad. No cuela.
1-Mal Nintendo (o la empresa que se encargue de la campaña de publicidad) por el tema de la seguridad. Espero que caiga un buen puro.
2-Muy torpe la redacción de los correos si la pretensión del personaje es la que dice en los foros. Otro tema es si no era esa su intención y ya estaba reculando cuando ha visto la que se le venía encima.
3-Moraleja amiguitos, mucho ojo como te diriges a alguien que tiene mucho más poder que tu y no te conoce, pués seguramente su reacción sea de sobreprotección y acabes muy mal. Esto es el abc de la vida.
4-Una reflexión a más largo plazo, es muy evidente que el personaje en cuestión ni por un momento se le pasó por la cabeza que ante su "amenaza" le podía dar un "ostión preventivo". Veo un fallo de conocimiento de la "escuela de la vida" importante en este caso.
Si, claro. Y cuando eta envia cartas a empresarios no chantajea, simplemente negocia como realizar la entrega de un dinero. Menudo sinverguenza el tio este.
La verdad es que a parte del chaval no creo que nadie más haya cogido datos, si nintendo no hubiera sido rata y le hubiera regalado algo, esto no se hubiera hecho público y hubieran salido ganando los 2.
Hay que ser rata para preferir una mala publicidad a darle algo al chaval.
No estoy diciendo que la actitud del joven haya sido correcta pero desde luego la de Nintendo ha sido pésima/desastrosa. Un lumbreras al que se le ocurrió pasar del chico y denunciarlo.
#17#13 Vuestra sugerencia es que ante una carta amenaza de chantaje el que la recibe debe ir corriendo a ceder a la extorsión, en lugar de presentar la denuncia pertinente. Interesante.
#19 Depende de la situación. Nintendo está en plena campaña de lanzamiento de 3DS. Ahora mismo, tanto si el chaval gana la primera vista, como si la gana Nintendo, ellos quedan mal. Es la historia de David vs Goliat o Fresita contra el Resto de la Casa de Gran Hermano. El público se pone a favor del débil y, éste, es el que queda como el ganador, pase lo que pase.
Yo, por lo menos, habría alargado la situación antes de presentar la denuncia, habría corregido el error de la web y habría dialogado con el chantajista para agradecerle el aviso (un simple gracias) y, quizás, si se pone pesado con el "dame una consola o te denuncio", hacerle ver que lo que está insinuando es grave.
Si luego, me pone la denuncia de marras de todas maneras, acepto las consecuencias y, a continuación, sin ya nada que perder, vas a por adan_gecko o mandas a un Terminator al pasado para que acabe con su madre, lo que quieras.
En fin, es el cutre-marketing de Sony, Nintendo y Microsoft de siempre. Por encima, el prestigio y, por debajo, la imagen.
- Avisar a Nintendo y no denunciar
- Denunciar y no avisar a Nintendo
En el momento que avisa, lo corrigen y sigue insistiendo en que los va a denunciar es cuando se produce el verdadero chantaje. Con lo sencillo que hubiese sido decir: "aquí peta vuestra web, si me lo queréis agradecer mandadme una camiseta o por lo menos respondedme".
Fallos como ese se ven a diario, sobre todo en webs programadas en php "a mano", el procedimiento habitual es avisar, esperar un tiempo prudencial y si no lo solucionan hacerlo público. El chaval es un toca pelotas, y aunque Nintendo ha obrado de la peor de las maneras eso no justifica que siguiese amenazando tras la reparación del error.
No se, suena raro. Nintendo dice que textualmente el "hacker" les ofreció llegar a un acuerdo para no denunciarlo, y no me parece tan inverosimil... aunque a la vez si que suena estúpido lo de que lo enviara con nombre y apellidos si ese fuera realmente el caso.
A mi, entre el primer y el segundo mail si que los párrafos en negrita me dan sensación de chantaje, "negociación", "afrontar consecuencias", seguramente la intención del chaval no eras esa pero lo que escribe deja un tufillo a chantaje, por eso hay que medir muy bien las palabras antes de escribir y mas un mail, porque se puede malinterpretar, no ves la cara del que te escribe y no sabes si es broma o lo dice en serio o no
Muy triste como se ha tomado Nintendo el asunto. Lo más probable es que gane el "hacker" ya que avisó rápidamente de un fallo de seguridad garrafal. Pero el marrón de abogados y mierdas que se le vendrá encima tela...
editado:
Sí, suena un poco amenazante la verdad su e-mail. Aunque antes de opinar se tendría que ver cuál eran sus intenciones. No sé, a ver como avanza el tema.
Pues si, yo también lo veo como chantaje aunque no vaya implícito en los emails.
Supongo que tuvo que ver muy jugoso encontrarse con algo así contra una compañía tan grande, y la tentación le pudo. Quien sabe si nosotros no hubiéramos hecho lo mismo..en mi caso no lo creo...pero claro, no me ha pasado..
la culpa es suya por haber indicado donde debían pagar pero no la cantidad de dinero... Y claro coge nintendo, llama a la policía y le pregunta.. oye, cuanto se le paga a estos tipos normalmente? y va la policía y lo denuncia! malnacidos!
PD: Igual estaría bien que no lo juzgásemos nosotros antes del juicio ¿no?
Como yo no soy ni juez ni jurado me voy a guardar el veredicto para mí. Pero las cosas como son, las palabras que eligió para negociación (y el motivo para ello), tienen premio a la frase peor escogida posible.
es un jodido chantaje, está más que claro, y quien no lo quiera ver tiene un grave problema, porque los mails son claramente delatores. Si bien el primer mail da un poco pie a la duda, el segundo remata que sus intenciones son sacar tajada. primero, porque no sé qué coño va a negociar, si tuviera buenos fines, una de dos, o denuncia o avisa a nintendo y se olvida. pero no, como no le hicieron ni puto caso ni le respondieron, pues mandó un segundo mail más directo y donde revelaba más claramente, a través de un chantaje más evidente, que o le respondían o denunciaba.
Al final claro que ha tenido respuesta, pero esa respuesta le va a poner los pies en su sitio. Eso le pasa por vividor
Artículo 171.1 del Código Penal:
"Las amenazas de un mal que no constituya delito serán castigadas con pena de prisión de tres meses a un año o multa de seis a 24 meses, atendidas la gravedad y circunstancia del hecho, cuando la amenaza fuere condicional y la condición NO consistiere en una conducta DEBIDA."
Y encima, toda la web se pone de parte del forero... ¿y todo por una consola?
Desde luego, hay que ser un poco tonto para meterte de esta forma con una multinacional. Y hay que ser, también, un poco tonto para no darle una consola de 250$ a un chaval y gastarte 2500€ en abogados para denunciarle (más lo que haya que pagar cuando la APD le pida explicaciones a la compañía). Aunque, claro, ya sabemos que Nintendo tiene más orgullo que Don Rodrigo en la horca...
Mmmm dicen en EOL que han enviado correos para confirmar las citas? A mí no me han enviado nada A ver si va a llegar el día 22 y me quedo sin probar la consola
Aquí un afectado que apoya al "hacker", y si pudiera ayudarle a no perder ante Nintendo, lo haría.
Chantaje sería decir: "Si no haceis tal cosa os denuncio"
Pero decir: "Lo habeis hecho mal, os aviso para que arregleis la seguridad antes de que se entere más gente, pero os voy a denunciar" no es chantaje, aunque luego hable de negociar, dónde negociar no significa obligar a nada.
Es más, yo siendo un afectado al que Nintendo no ha respetado la privacidad dejando mis datos abiertos para cualquiera, también denunciaría a Nintendo. Y si quisiera negociar para yo firmar que retiro la denuncia a cambio de una 3DS por ejemplo, lo haría. ¿Sería eso chantaje? No
#Hibadino vamos a ver, su argumento se desmonta en el momento en el que farda de ser buen ciudadano. Un buen ciudadano no se mantiene a la espera, porque si él se ha percatado de ese agujero, puede que otro listo haga lo mismo. El único motivo que le lleva a mantenerse a la espera y, ante la impaciencia, lleva a cabo la redacción de un segundo mail que ya termina por mostrar que lo que buscaba era sacar tajada del asunto. Lo siento pero no, no hay duda, es un chantaje.
Y van a salir escaldados los dos, una por tener ese agujero y otro por aprovechado.
Comentarios
La noticia de EOL es claramente partidista y pasa por alto el e-mail del susodicho.
Las palabras del chaval suenan a chantaje, aquí y en Tegucigalpa.
Dada la gravedad de la infracción es mi deber como ciudadano comunicar su existencia a las autoridades y eventualmente a los afectados por ella. No obstante, he de reconocer que por mi parte existe cierto interés y admiración por su empresa y sus productos, y que por lo tanto no querría perjudicar su imagen, cosa que seguramente ocurriría si la situación llegase a conocimiento público.
Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.
Si está interesado en ponerse en contacto conmigo, por favor no dude en llamar al número de teléfono [...]. También me podrá encontrar el próximo [...] a las [...] en [...], donde precisamente acudiré a probar el producto promocionado por la campaña.
Una cosa es que Nintendo o la empresa subcontratada cometa un error de seguridad y otra es que defendamos a un chaval que claramente quería aprovecharse, si creía que Nintendo había hecho mal que hubiese denunciado directamente.
#6 Claramente se puede mal interpretar, pero tampoco dice nada de chantaje, así que la que miente es nintendo
#7 #9 La excusa que da el chaval es bastante pobre, me recuerda a Francisco Camps con lo de los trajes .
Lo que dice el chaval acerca de la "negociación": "Esperaba contrastar los hechos de la denuncia. Más que nada saber si el fichero de datos estaba bajo custodia de ellos o de 8media para así denunciar en consecuencia."
Para mi esto no cuela, negociar y contrastar son dos cosas muy distintas, aparte de que el chaval dijo en principio que quería llegar a un acuerdo haciendo hincapié en lo mucho que le interesaban sus productos y que iba a estar en uno de sus stand . Mal por el chaval por querer aprovecharse y mal por Nintendo por la deficiente seguridad (sea culpa suya o de la empresa contratada)y por la tonterías de técnicas de hacker, que de hacker el asunto ha tenido poco...
#9 Uh, uh... Si lo que quería el chaval es, como dice #10, contrastar datos, ¿a santo de qué? Si ves un fallo de seguridad que compromete datos de miles de personas, o bien te cae muy bien la empresa responsable (porque eres usuaria de sus productos, etc.) y les avisas para que lo corrijan y no salgan muy perjudicados, o bien te da lo mismo lo que les pase y denuncias directamente a Protección de Datos, y ya depurarán ellos responsabilidades a la empresa que corresponda.
#11 Vamos, decir "o negocian o les denuncio y hago pública su metedura de pata" se parece MUCHO a un chantaje, intentando aprovecharse, precisamente, de que lo de Nintendo es un delito e intentando negociar para no denunciarlo y hacerlo público.
#31 ¿Te has leído el segundo e-mail del chaval? Está en #8, y dice precisamente eso: "si no queréis negociar [¿el qué?] os denunciaré y lo haré público". Porque no es lo mismo que le digas a Nintendo "he descubierto ya no un fallo, sino un delito, y os voy a denunciar" y que sean ellos los que te ofrezcan una contraprestación por no hacerlo, que pedírsela tú directamente.
#35 El segundo e-mail puede sonar a lo que dices, pero también puede sonar a queja de no recibir respuesta. Dice "salvo que [...] se me comunique oposición por su parte". Que no es literalmente: "Salvo que me deis pasta" aunque pueda serlo, ya que puede referirse por ejemplo a lo que él decía, de denunciar a 8media en lugar de a Nintendo.
De cualquier modo, sea cierto o no que quisiera obtener algo a cambio que tampoco lo veo raro, lo que seguro que no es cierto es el comunicado que parece haber enviado Nintendo a diversos periódicos. Porque en los periódicos se habla de diversos métodos de hacking (para no decir que dejaron la puerta abierta a mis datos entre otros, violando mi privacidad y la de otros), de que tiene nuestros teléfonos y dirección (no se pedían esos datos, codigo postal sí), de que el "hacker" pedía cosas a cambio de los datos robados (en todo caso era a cambio de no denunciarlos, y no está demostrado)... en fin ¡Injurias y calumnias!
Y desde luego si quería denunciarlos alguna prueba debía de tener, por eso obtuvo muestras de los datos y capturas del proceso de acceder a ellos. De hecho sus datos estaban ahí, abiertos para cualquiera, no era un hacker, sino un usuario quejándose de que sus datos los podía coger alguien con mala intención.
Yo estoy tranquilo de que él haya descubierto que no tuviera ninguna seguridad y que no lo haya descubierto otro que usara los datos para cualquier otra cosa... Que en realidad no sé si eso ha ocurrido, porque cualquiera pudo obtener esos datos privados a los que se podía acceder públicamente y no haber avisado a Nintendo ni a nadie... Espero que no y que adan_gecko "el hacker" nos haya salvado!
#40 Es que el no tiene por qué denunciar a 8media en vez de a Nintendo ni nada por el estilo. Lo único que tiene que hacer es ir a Protección de Datos, dar el URL y el método de acceso, Protección de Datos los comprobará y ya le meterá caña a quien tenga que metérsela. Lo que ha hecho el chaval, incluso si lo hacía de buena voluntad, es meterse en camisa de once varas, intentando negociar de un modo confuso, que induce a pensar en chantaje, con una empresa cuyos abogados se cuentan por cientos.
Resumiendo, como poco ha pecado de tonto, y puede que en realidad se haya pasado de listo queriendo negociar no sé qué a cambio de no hacer público un delito, algo que se asemeja pero muy mucho a un chantaje.
#50 No sé, sigue sin parecerme chantaje, sino intento de llegar a un acuerdo. No es lo mismo. Si tú compras algo y le falta una pieza, ¿denuncias al vendedor? No lo creo, irás a la tienda primero para llegar a un acuerdo, que bien puede ser devolución de dinero, cambiarlo por otro, un vale regalo en la tienda... Y si te dicen que no te dan nada, que les da igual que falte una pieza, entonces puede que los denuncies.
Y en muchos casos de la justicia, aunque yo no sepa mucho del tema, creo que se llega a acuerdos por ambas partes para evitar la denuncia. En ese caso se debería firmar algo de que se ha llegado a tal acuerdo y no va a denunciar imagino. Si las intenciones de adan_gecko eran esas no creo que estuviera cometiendo ningún delito y se ven lógicos sus mensajes de "veo que no quieres llegar a un acuerdo así que voy a denunciarte" ya que no le contestaban y el de "negociación dialogante por la cual lleguemos a un acuerdo"...
Es mi humilde opinión, y voy a denunciar a Nintendo a la protección de datos por no proteger los mios.
#57 En el primer e-mail ya dijo que era motivo de denuncia pero que quería llegar a un acuerdo. No creo tener un grave problema como dices... se pueden ver lógicas las dos posturas y no decir que los que opinamos que no es chantaje tenemos un problema.
En mi comentario #52 digo porqué no me parece chantaje, no sé si lo has leido para discutirlo debidamente, que me gusta
#52 No es lo mismo.
Una cosa es que como dices compres algo y te viene defectuoso o pagas por un servicio que no te lo dan como te lo prometieron donde claramente sí que estas en tu derecho de exigir una compensación, pero otra muy distinta es que hayas ido a su fabrica, te hayas colado dentro (sin autorización, aún si tenían la puerta abierta) y te hayas topado, no se, conque se robaban el agua del pueblo o no pagaban la electricidad, y les hayas dicho "A ver, esto puede terminar mal para ustedes a menos que nos sentemos a negociar".
Eso es un chantaje aquí y en China. Distinto es que les digas "A menos que arreglen sus errores los voy a denunciar", y estés vigilando que Nintendo corriga el error, tras lo cual ahí quede todo (esto es lo que suelen hacer los llamados White Hat Hackers) o que de plano los denuncies directamente (donde el avisarles o no sería irrelevante para el caso ) a que les pidas algo a cambio de no interponer la denuncia.
#60 Enviar un e-mail a Nintendo no es mantenerse a la espera, sea por conseguir algo o no, no se mantuvo a la espera. Y si no lo hizo público fue precisamente para que no se metiera más gente mientras no había seguridad. Fue cuando cambiaron la página cuando avisó en el foro de lo ocurrido. Por ese entonces Nintendo aun no había contactado ni con él ni con la prensa, así que tampoco lo publicó por salvar su imagen sino por avisar.
Más tarde, Nintendo comunicó a los medios con un poco de verdad y mucho de mentira lo ocurrido, y denunció al chaval. No creo que fardara de ser buen ciudadano.
#59 ¿hasta que punto puede ser ilegal entrar por una puerta abierta en internet? ¿Me quieres decir que si yo introduzco www.probandoaversiexiste.com y dentro hay datos privados, he cometido un delito?
Dudo que sea ilegal escribir "www.admin.pruebayveras.com" en el navegador (que fue lo que hizo seguramente para asegurarse que sus datos no estaban visibles para cualquiera), sería ilegal si eso tuviera contraseña usar métodos para averiguarla y robar los datos...
Él estaba registrado en la página por lo que aceptó la política de privacidad en la que Nintendo se hacía responsable de guardar sus datos para que nadie pudiera acceder. No era así, así que es un cliente que avisó de denunciar o llegar a un acuerdo, que si el acuerdo al que se refería era un acuerdo legal (para no llegar a denunciarlo) no veo nada malo y no se llama chantaje. Pero como Nintendo no se puso en contacto con él, decir que chantajeaba son otra vez ¡injurias y calumnias!
Sobre el #61 no lo entiendo muy bien, pero lo que hizo Nintendo si constituía delito y no vi mala conducta por ningún lado.
#62 Aquí el carácter legal o ilegal de la intrusión no es relevante. Lo importante es que si con ello fuiste testigo de un delito (la exhibición de datos privados) y en lugar de denunciarlo intentaste sacar un beneficio de ello al solicitar una bonificación a cambio de quedarte callado, sí que eres culpable de extorsión. Y eso no quita que el delito original (de Nintendo) deba ser investigado.
¿Qué iba a negociar? ¿Un acuerdo judicial de qué? Eso simplemente no se sostiene. Si lo que quería negociar era que arreglaran el error para no denunciarlos, eso se hizo y él en lugar de dejarlo ahí siguió con sus amenazas en su segundo mail. ¿A que venía eso? Se notaba que él sí quería algo a cambio, no de el haberles informado, sino de no acusarlos. Eso es chantaje de libro. ¿O acaso quería una copia certificada de que se comprometían a mejorar su seguridad? Juas.
Ahora bien, desde el momento en que accedes a una parte de un sitio el cual no está diseñado para que tú lo uses, sin importar que lo hayas hecho gracias a un error humano, un bug, un super ataque hacker o a la conjunción de Jupiter con Saturno, y trates de obtener un beneficio material de dicha intrusión yo creo que sí es punible.
Pero bueno.
#9 Yo creo que hasta un juez entendería que es un chantaje. Si tu conoces un chantaje en la historia de la humanidad en que se diga "Chaval voy a chantajearte..." avísanos de cual. Los chantajes se hacen sin pronunciar la palabra chantaje.
Es evidente que el chico tiene tres opciones: denunciar, no denunciar o "negociar" con Nintendo, es decir, cobrar por no denunciar, lo que popularmente se llama chantajear.
#11 No es así porque en el email vincula la interposición de la denuncia a esa negociación. Para que fuera como tu dices y no fuera chantaje debería dejar claro que no pone la denuncia sea cual sea el resultado de esa negociación.
Además que Nintendo cometa una falta administrativa (que no delito) que será penado en su momento por la APD, no es excluyente de que el chico cometa un delito.
#6 #8 No es un chantaje. Nintendo es quien comete el error y el delito en primer lugar. Y si todo funciona bien le caerá la correspondiente multa estratosferica.
Se habla de "negociar", puede significar cualquier cosa. Una recompensa por el descubrimiento totalmente merecido. O simplemente una recompensa a cambio de no denunciarles tal y como se merecen.
Nintendo ha aprovechado su dominio de los medios para "controlar el daño" (el daño causado por su negligencia) culpando al chaval que no tiene culpa de nada.
Hoy escuché la noticia en la radio "version nintendo" y la cosa pintaba como si un hacker ruso les hubiese dado 24 horas para que le ingresen 50.000 euros. Cuando por lo visto la realidad es que Nintendo cometio un error colosal y una persona les avisó por email con buena fé y poco más.
#11 "Se habla de "negociar", puede significar cualquier cosa. Una recompensa por el descubrimiento totalmente merecido. O simplemente una recompensa a cambio de no denunciarles tal y como se merecen."
Negociar no puede significar cualquier cosa, no significa saltar ni torpedear ni significa perro, negociar en este contexto encaja con una de las definiciones de la palabra: "Tratar asuntos públicos o privados procurando su mejor logro."·
Y lo que dices de "una recompensa a cambio de no denunciarles"...has definido chantaje...Chantaje , es la amenaza de difamación pública o cualquier otro daño [en este caso revelar su fallo de seguridad con la consiguiente multa] para obtener algún provecho pecuniario o material de alguien [en este caso la recompensa que dices] u obligarlo a actuar de una determinada manera.
Que Nintendo la caga esta claro, pero el chaval se luce también, las dos partes tienen lo suyo.
#11 No es un chantaje, es un intento de cutrechantaje hecho por un niñato.
Tu análisis es estupendo, vete a contarlo como testigo en la defensa del niñato. No soy abogado, pero algo me dice que en derecho, un chantaje es un chantaje, independientemente de que se lo hagas a un inocente o a un criminal. Nadié discute el error, incurriendo en delito, de Nintendo. Pero eso no justifica el chantaje, ni moralmente ni legalmente.
#6 Sí, ciertamente es la sensación que da: si llegamos a un acuerdo (¿acuerdo sobre qué?, ¿una contraprestación pon no denunciar y hacerlo público?), no les denuncio, pero como no han contactado conmigo para negociar (¿negociar el qué?), aténganse a las consecuencias de una denuncia pública (que debería haber hecho desde un buen principio, en vez de "negociar").
La verdad, si no es un intento de chantaje, se le parece mucho.
Realmente suena a chantaje, por mucho que ahora diga que no.
Y su segundo mail simplemente termina de hundirlo un poco más:
"Al no haber recibido respuesta por su parte, entiendo que la empresa que Usted dirige no tiene ningún reparo en afrontar las consecuencias legales y económicas de su infracción. Por lo tanto, salvo que en los próximos días se me comunique oposición por su parte, el proceso de denuncia continuará adelante con entrega de la documentación ante la Agencia de Protección de Datos prevista para el próximo lunes 14 de febrero."
Es decir, así de primera impresión (siguiendo el principio de la Navaja de Ockham) pensaría: el tipo encontró el fallo e intentó chantajearlos para que le regalaran una N3DS a cambio de no denunciarlos.
A ver que pasa después.
Éste es el complejo proceso de hackeo comentado por el supuesto hacker en el hilo original:
1. Acceder a http://admin.pruebayveras.com .
2. Pulsar Enter, sin introducir usuario ni contraseña.
3. Voilà!
#18 Es que ese fallo de seguridad lo podría haber descubierto cualquiera. Cualquiera con un poco mas de maldad se hubiera quedado la base de datos y usarla para otros fines no legales.
En cambio, lo único que ha echo adan_gecko (el usuario de EOL denunciado) ha sido de informar de tal fallo a la compañía, una acción que siempre se ha tomado como ética y correcta.
No se, a mi me da la impresión de que ninguno ha jugado limpio:
- El chaval queriendo extorsionar para no sacar un dato a la luz y vendernoslo como si fuera un adalid de la justicia.
- Nintendo salvándose las castañas diciendo que ha sido un hackeo de película.
Ninguno me da pena, pero obviamente el chaval ha pecado de listillo pensando que podía joder tán facilmente a Nintendo.
#21 El problema es que no solo ha informado, sino que ha pedido una "negociación" para no hacerlo público. El segundo email lo deja muy claro.
#23 y #36 No he leído los mails, pero según lo que comentáis vosotros. El descargar datos personales de una BBDD, es posiblemente delito, pero es un descuido muy grande por parte de la empresa que diseño la web.
Es como si alguien de una empresa muy importante se dejase olvidado en un bar una agenda de direcciones de sus clientes.Y si la competencia lo encuentra, seguramente no dudaría en utilizarla en su propio beneficio.
No es igual al caso, pero es algo parecido... quiero decir que si me encuentro una base de datos en internet de libre acceso, cuando no debería de serlo... hay delito en eso por mi parte? me la descarge o no, se puede copiar a mano.
Lo que si estoy de acuerdo es con que NO es nada ético extorsionar a alguien para poder recuperar algo.
#54 No era por recuperar nada, los datos no fueron borrados de la base de datos de Nintendo, otra mentira de Nintendo o bien de los medios que lo dicen.
#21, si lees todo ves que él SÍ guardó la BBDD (o al menos parte de ella):
Con respecto a los listados con datos personales que descargué, en la misma declaración manifesté mi intención de borrarlos de inmediato así como no volver a usarlos, almacenarlos o comunicarlos en el futuro.
Yo lo siento pero ahí no veo tan buena intención. Después de leer los mails que mandó a nintendo y luego esto...
Osea tú das con un fallo y ya que estás te guardas parte de la BBDD? Y para qué?
En estos casos siempre es muy bonito hablar a posteriori. Aunque es evidente que nintendo se pasó, no puedes denunciar por esos emails, que minimo primero le hubieran llamado los abogado en plan de "Oye, pero tu de que vas?". Pero vamos, ya tenemos ahi la maquinaria de la industria para imponer su punto de vista de "Malvado hacker piratea y extorsiona" cuando la verdadera noticia "Nintendo hace una chapuza de we y compromete información privada de usuarios" se queda olvidada.
#36 ¿como prueba?, a mi me parece normal que se bajase algo como prueba de que era factible hacerlo. Sino nintendo cambiaba el sistema, le denunciaba por difamacion y claro, el no tiene ninguna prueba de que hubo un error real que permitía el acceso a los datos.
Que Nintendo la ha cagado y merece una denuncia está claro.
Que Nintendo quiere librarse del marrón usando a adan_gecko como cabeza de turco es bastante obvio.
Que adan_gecko quería obtener algo por haberse dado cuenta del fallo, es bastante probable, pero querer hablar con Nintendo no es un delito
Siento comentar dos veces casi seguidas.
#41 tiene mucha razón
#41 como prueba grabas la pantalla en video. No robas coges lo que hay dentro. Entrar en una página protegida, mal, muy mal, pero protegida, y llevarte datos que no te pertenecen lo veo como si un día te dejas la puerta de casa mal cerrada y yo me llevo tu tele como prueba de que estaba mal cerrada
#45 yo sí, pero sin la 'prepotencia' de recordarte las multas que te van a caer ni empezar a jugar con el chantaje
Un email que diga que los datos están accesibles a todo dios y un cachondeíto en plan "regaladme algo, joe, estiráos " estaría de puta madre
#46 El problema es que Nintendo no puede acceder a regalarte ni una miserable DS por comprar tu silencio. Ya que tu seguirías teniendo las pruebas aunque dijeras que no, y Nintendo habría cometido un delito al intentar comprar tu silencio. Se veían metidos en demasiados fregaos.. Tenían la opción de:
1) Pagar a la Agencia de Protección de datos.
2) Pagar a la Agencia de Protección de datos y además ser culpables de haberte comprado, en caso de que el tema saliera a la luz. Y encima pierden una consola. No lo olvidemos.
#46 Pero entrar y grabar los datos en video por captura de pantalla, es exactamente lo mismo, estas viendo los datos, los estas guardando en tu ordenador... no hay diferencia juridica entre hacer eso y hacer un copy and paste en un documento de texto.
Habría que ver si el delito es realmente guardarse los datos ya sea copiandolos o grrabando un video (que estaban casi publicos, sin un control real del acceeso ni identificación) o compartirlos y esto ultimo no lo ha hecho.
#51 hombre, guardarse una BBDD con datos confidenciales muy legal no es. Podría haber hecho una captura perfectamente y tapando los datos con un borrón mismo, como prueba.
Pero guardarse un dump? Venga hombre!
Y luego eso, que a la zona de admin ha llegado por error? el error de buscarla, porque no había un botón en la web que pusiera "ZONA DE ADMIN" que yo recuerde...
Lo que pasa que le ha salido mal la jugada, y ha sido tonto... ¿Va a poder él con una empresa tochísima? Pues ni él ni yo ni la mayoría de la gente...
Que yo no digo que el asunto no tenga tela, y los que hayan hecho la web se han lucido pero vamos... el señor "hacker" tampoco es que haya sido un santo.. un listo sí.
#18 Había leído la noticia en El Mundo, pero ni por asomo se me pasó que sería tan fácil que hasta un niño de 6 años podría "hackearlo"
#26 De acuerdo que ha sido muy poco listo con los emails, pero denominar a #18 "hacking" es surrealista.
#27 No, si creo que aqui nadie esta defendiendo eso al fin y al cabo el usuario medio de menéame ya debería estar acostumbrado a la creativa definición de delitos por parte de los "poderosos". Hacking = entrar en una página sin protección, Daño al honor = dibujar una caricatura de una figura pública, Acoso = investigación por parte de la policiía
Si eso es verdad espero que tengan guardados los correos y que una vez resuelto el caso se pongan a la vista de todos y que se pueda "apalizar" publicamente a nintendo por tener unos gestores tan pésimos o a quien sea.
Como dicen más arriba... falta de ética empresarial por parte de Nintendo y de ética personal por parte de los supuestos "DIRECTIVOS" de dicha firma. O falta de educacion del chaval
Les tendrían que poner a la sombra unos dias ante tamaña desfachatez si han hecho abuso.
Espero que la red, si eso es cierto, les dé caña hasta en el carnet de identidad. Eso sin contar lo ejemplar que debe ser proteccion de datos.
Si ésto es verdad...
----------------------------------
#18
Éste es el complejo proceso de hackeo comentado por el supuesto hacker en el hilo original:
1. Acceder a admin.pruebayveras.com .
2. Pulsar Enter, sin introducir usuario ni contraseña.
3. Voilà!
----------------------------------
... no sé yo que tenian que negociar. Eso de el detalle por "avisarlos" no lo veo mal, aunque las formas... si es un chaval va a aprender por las malas a tener buenas formas.
Saludos
Ahora es importante que elotrolado se mantenga neutral, simplemente manteniendo los mensajes que fueron escritos. Con ellos puede realizarse una buena defensa, alegando buenas intenciones. Un -1 para Nintendo y su persecución a los internautas / aficionados a la seguridad. Por cierto, ¿será la primera victima de la nueva reforma del código penal que tipifica esto como delito?
Manu1oo1 escribió:
Recapitulemos. Por que Gecko la ha cagado de tantas formas, que es difícil no verlo.
Un usuario encuentra "por casualidad" una forma de acceder a los datos de usuario. Primer punto discutible. Un usuario no intenta acceder al panel de administración "por casualidad". Hay una intencionalidad obvia, y eso puede ser interpretado como hacking por cualquier juez. Por muy simple que sea la forma de acceder.
Luego, y con fines aún no aclarados, saca copia de los datos allí contenidos. Y van dos. Como bien se ha dicho, una cosa es que encuentres una puerta de un coche abierta, y otra bien distinta que te metas y te lo lleves. Y ni eso. Antes, habías buscado la "llave". Y lo que es peor en este caso, has accedido a datos privados de caracter personal a los que no tienes acceso legalmente. ¿Y por qué digo eso si la puerta estaba "abierta"? (que va a ser que no a efectos legales). Pues por que en una BD registrada en la LOPD (y no me cabe duda de que esta lo estaba), únicamente tienen acceso de forma legal su administrador, y aquellos usuarios que él mismo designe. Por ejemplo, si te encuentras un CD con datos por la calle y no lo entregas de inmediato, el simple hecho de introducirlo en tu ordenador es delictivo. Podéis informaros si queréis. Yo ya tuve que hacerlo (y bien a fondo) por motivos de empresa, y así son las cosas.
Más tarde, anuncia a los cuatro vientos, no sólo que los tiene, sino que ha accedido a ellos. Otra enorme cagada. Y además, pone como prueba las iniciales de un usuario y la letra de su DNI, vanagloriándose de ello. Eso agrava (y de forma extraordinaria) el punto anterior, ya que queda probado que se llevó los datos, los introdujo en su ordenador, y accedió a ellos, delito contemplado claramente en la LOPD con graves sanciones.
En lugar de INMEDIATAMENTE, comunicar a Nintendo la vulnerabilidad, intenta "negociar" con ellos. No tengo por que dudar de la palabra de esta persona, pero esto APESTA a kilómetros. Y sobre todo por un detalle en el que no se ha incidido lo bastante. Si os fijáis, en ningún momento aclara a Nintendo CUÁL ES LA FORMA en que se accede a los datos. Tan sólo habla de "una vulnerabilidad". Es decir, cualquier juez con dos dedos de frente interpretará que su intención no era solucionar dicho agujero (o se lo hubiera comunicado para que procedieran a su arreglo), sino que les da "como prueba" un extracto de los datos accesibles. Otra enorme cagada (y van...). No solo vuelve a probar que ha accedido a los datos, sino que deja claro que quiere "enseñar su trofeo" con el fin de que Nintendo se preste a la "negociación". Por si no lo creen, vaya... ¿No hubiera sido más fácil (y honrado) aclararles cuál era la famosa puerta trasera, y así no hubiera cabido necesidad de más "pruebas"? En serio, ahora se podrá explicar como se quiera, pero los jueces van a interpretar esto MUY MAL.
Una vez Nintendo encuentra la vulnerabilidad, en lugar de felicitarlos por ello, les escribe un nuevo correo en un tono de frustración evidentísimo, en el que, contra todo rastro de cordura, vuelve a incidir en esa "negociación" y... ¡les da un plazo para ello!. Esto, directamente, es de locos. ¿Como que "salvo que en los próximos días se me comunique oposición por su parte, denunciaré"? ¿Qué tiene que "oponer" Nintendo? ¿Un delincuente puede "oponerse" a que lo denuncies? No, de nuevo ningún juez en su sano juicio (valga la redundancia) interpretará eso más que en la línea que parece que va... Negociemos, lleguemos a un acuerdo, y negaré hasta que el cielo es azul... Solo más tarde, cuando ve que esto se le ha ido de las manos, publica en EOL la forma de acceder a los datos... más como descargo suyo (¿veís lo fácil que era?) que otra cosa. Y hasta hoy.
Sinceramente, cuanto más leo acerca de esto, peor me huele... y peor me temo que va a acabar. A Nintendo le caerá una buena multa (posiblemente por encima de los 60.000 euros, sanciones que he visto por cosas menos importantes), pero al forero le va a caer la del pulpo. Y lo siento, pero es que esto no tiene defensa posible. Como mucho (su abogado se lo confirmará) podrá agarrarse a que el chantaje no es evidente (por eso de que no pide "nada" a cambio, aunque lo insinúe), con lo que se libraría de penas de prisión. Pero la multa (y gorda), creo que va a ser inevitable. Ahora si que haría bien en negociar con Nintendo, aunque eso tampoco le va a librar (la AEPD actua de oficio). Pero puede que le reduzca el importe de la multa y le librará de las costas de un juicio por amenazas que puede ser largo y muy costoso.
Es lo que pasa por jugar con fuego.
Manu1oo1
PD) Se me olvidaba esto...
Cita:
Si has puesto tus datos personales en una web, al menos tienes derecho a saber que tus datos se encuentran en buenas manos. Si descubres que cualquiera puede acceder a tus datos por un método tan obvio, es normal que intentes avisar por medio a que tus datos puedan ser usados por cualquier tercero, y que tomes capturas y grabaciones como prueba de tal irresponsabilidad. Lo dela carta ya es otra historia...
Meeec. El hecho de que haya datos tuyos en una BD no te autoriza a acceder a ella sin ser usuario autorizado. Es de cajón. Si no, registrarme en cualquier sitio me legitimaría para hackearlo "para ver si están seguros". No le déis más vueltas. Los únicos que tienen permiso para acceder a una BD, son el administrador de los datos, y aquellos usuarios que él autorice expresamente, que tienen que constar en el Documento de Seguridad. No cuela.
con esto..ya deberia estar todo claro
La historia es para leerla, incluyendo los enlaces a los post del foro. El hilo en cuestión del foro será utilizado como prueba judicial.
joder, cualquiera que lea los mails - http://www.elotrolado.net/hilo_hilo-oficial-prueba-y-veras-la-campana-de-nintendo-3ds_1565562_s530#p1723748417 - creo que interpretará chantaje, eso de abrir una via de negociación para mantener la boca callada, para mí es "dame algo o canto" o sea, chantaje
pobre chaval
Varias cosas:
1-Mal Nintendo (o la empresa que se encargue de la campaña de publicidad) por el tema de la seguridad. Espero que caiga un buen puro.
2-Muy torpe la redacción de los correos si la pretensión del personaje es la que dice en los foros. Otro tema es si no era esa su intención y ya estaba reculando cuando ha visto la que se le venía encima.
3-Moraleja amiguitos, mucho ojo como te diriges a alguien que tiene mucho más poder que tu y no te conoce, pués seguramente su reacción sea de sobreprotección y acabes muy mal. Esto es el abc de la vida.
4-Una reflexión a más largo plazo, es muy evidente que el personaje en cuestión ni por un momento se le pasó por la cabeza que ante su "amenaza" le podía dar un "ostión preventivo". Veo un fallo de conocimiento de la "escuela de la vida" importante en este caso.
Si, claro. Y cuando eta envia cartas a empresarios no chantajea, simplemente negocia como realizar la entrega de un dinero. Menudo sinverguenza el tio este.
Relacionada: Nintendo alerta del robo de datos personales de 4.000 usuarios de su base de datos
Nintendo alerta del robo de datos personales de 4....
elmundo.esTodo junto (recomendado leer): http://www.elotrolado.net/wiki/Caso_Prueba_y_ver%C3%A1s
La verdad es que a parte del chaval no creo que nadie más haya cogido datos, si nintendo no hubiera sido rata y le hubiera regalado algo, esto no se hubiera hecho público y hubieran salido ganando los 2.
Hay que ser rata para preferir una mala publicidad a darle algo al chaval.
No estoy diciendo que la actitud del joven haya sido correcta pero desde luego la de Nintendo ha sido pésima/desastrosa. Un lumbreras al que se le ocurrió pasar del chico y denunciarlo.
#17 #13 Vuestra sugerencia es que ante una carta amenaza de chantaje el que la recibe debe ir corriendo a ceder a la extorsión, en lugar de presentar la denuncia pertinente. Interesante.
#19 Depende de la situación. Nintendo está en plena campaña de lanzamiento de 3DS. Ahora mismo, tanto si el chaval gana la primera vista, como si la gana Nintendo, ellos quedan mal. Es la historia de David vs Goliat o Fresita contra el Resto de la Casa de Gran Hermano. El público se pone a favor del débil y, éste, es el que queda como el ganador, pase lo que pase.
Yo, por lo menos, habría alargado la situación antes de presentar la denuncia, habría corregido el error de la web y habría dialogado con el chantajista para agradecerle el aviso (un simple gracias) y, quizás, si se pone pesado con el "dame una consola o te denuncio", hacerle ver que lo que está insinuando es grave.
Si luego, me pone la denuncia de marras de todas maneras, acepto las consecuencias y, a continuación, sin ya nada que perder, vas a por adan_gecko o mandas a un Terminator al pasado para que acabe con su madre, lo que quieras.
En fin, es el cutre-marketing de Sony, Nintendo y Microsoft de siempre. Por encima, el prestigio y, por debajo, la imagen.
Chantaje es una palabra muy fea, yo prefiero… EXTORSIÓN, la X le da mucha clase
Anda que... el hackerzuelo tenía dos opciones:
- Avisar a Nintendo y no denunciar
- Denunciar y no avisar a Nintendo
En el momento que avisa, lo corrigen y sigue insistiendo en que los va a denunciar es cuando se produce el verdadero chantaje. Con lo sencillo que hubiese sido decir: "aquí peta vuestra web, si me lo queréis agradecer mandadme una camiseta o por lo menos respondedme".
Fallos como ese se ven a diario, sobre todo en webs programadas en php "a mano", el procedimiento habitual es avisar, esperar un tiempo prudencial y si no lo solucionan hacerlo público. El chaval es un toca pelotas, y aunque Nintendo ha obrado de la peor de las maneras eso no justifica que siguiese amenazando tras la reparación del error.
#49 yo añadiría una 3a opción:
Obtener las pruebas del fallo, advertir a Nintendo del error y denunciarlo ante la AEPD.
Es lo que yo haría, eso si, me quedaría sin la "camiseta" de agradecimiento de Nintendo.
No se, suena raro. Nintendo dice que textualmente el "hacker" les ofreció llegar a un acuerdo para no denunciarlo, y no me parece tan inverosimil... aunque a la vez si que suena estúpido lo de que lo enviara con nombre y apellidos si ese fuera realmente el caso.
A mi, entre el primer y el segundo mail si que los párrafos en negrita me dan sensación de chantaje, "negociación", "afrontar consecuencias", seguramente la intención del chaval no eras esa pero lo que escribe deja un tufillo a chantaje, por eso hay que medir muy bien las palabras antes de escribir y mas un mail, porque se puede malinterpretar, no ves la cara del que te escribe y no sabes si es broma o lo dice en serio o no
Muy triste como se ha tomado Nintendo el asunto. Lo más probable es que gane el "hacker" ya que avisó rápidamente de un fallo de seguridad garrafal. Pero el marrón de abogados y mierdas que se le vendrá encima tela...
Pues si, yo también lo veo como chantaje aunque no vaya implícito en los emails.
Supongo que tuvo que ver muy jugoso encontrarse con algo así contra una compañía tan grande, y la tentación le pudo. Quien sabe si nosotros no hubiéramos hecho lo mismo..en mi caso no lo creo...pero claro, no me ha pasado..
la culpa es suya por haber indicado donde debían pagar pero no la cantidad de dinero... Y claro coge nintendo, llama a la policía y le pregunta.. oye, cuanto se le paga a estos tipos normalmente? y va la policía y lo denuncia! malnacidos!
PD: Igual estaría bien que no lo juzgásemos nosotros antes del juicio ¿no?
Pfffff... No entiendo la insistencia para que se pongan en contacto con él, pero aun así... Efecto Streisand para Nintendo en 3,2,1...
Como yo no soy ni juez ni jurado me voy a guardar el veredicto para mí. Pero las cosas como son, las palabras que eligió para negociación (y el motivo para ello), tienen premio a la frase peor escogida posible.
es un jodido chantaje, está más que claro, y quien no lo quiera ver tiene un grave problema, porque los mails son claramente delatores. Si bien el primer mail da un poco pie a la duda, el segundo remata que sus intenciones son sacar tajada. primero, porque no sé qué coño va a negociar, si tuviera buenos fines, una de dos, o denuncia o avisa a nintendo y se olvida. pero no, como no le hicieron ni puto caso ni le respondieron, pues mandó un segundo mail más directo y donde revelaba más claramente, a través de un chantaje más evidente, que o le respondían o denunciaba.
Al final claro que ha tenido respuesta, pero esa respuesta le va a poner los pies en su sitio. Eso le pasa por vividor
Noentiendo.
un forero de eol..no falla
Pues lo siento por el chaval, pero yo lo veo como un claro caso de intento de chantage a Nintendo.
Artículo 171.1 del Código Penal:
"Las amenazas de un mal que no constituya delito serán castigadas con pena de prisión de tres meses a un año o multa de seis a 24 meses, atendidas la gravedad y circunstancia del hecho, cuando la amenaza fuere condicional y la condición NO consistiere en una conducta DEBIDA."
Después de lo que hicieron con espalzone tendría que haberlo pensado..
Y encima, toda la web se pone de parte del forero... ¿y todo por una consola?
Desde luego, hay que ser un poco tonto para meterte de esta forma con una multinacional. Y hay que ser, también, un poco tonto para no darle una consola de 250$ a un chaval y gastarte 2500€ en abogados para denunciarle (más lo que haya que pagar cuando la APD le pida explicaciones a la compañía). Aunque, claro, ya sabemos que Nintendo tiene más orgullo que Don Rodrigo en la horca...
Total, y concluyendo:
- El tío está fichado y con una denuncia puesta.
- Nintendo en ningún caso pagaría más de 60.000 euros (sanción leve) de multa a la AEPD.
Épico.
Mmmm dicen en EOL que han enviado correos para confirmar las citas? A mí no me han enviado nada A ver si va a llegar el día 22 y me quedo sin probar la consola
Simplemente Nintendo apesta.
Los datos están en un pen drive entregado a la policía como prueba, y ya no en el ordenador del susodicho, y me lo creo.
Aquí un afectado que apoya al "hacker", y si pudiera ayudarle a no perder ante Nintendo, lo haría.
Chantaje sería decir: "Si no haceis tal cosa os denuncio"
Pero decir: "Lo habeis hecho mal, os aviso para que arregleis la seguridad antes de que se entere más gente, pero os voy a denunciar" no es chantaje, aunque luego hable de negociar, dónde negociar no significa obligar a nada.
Es más, yo siendo un afectado al que Nintendo no ha respetado la privacidad dejando mis datos abiertos para cualquiera, también denunciaría a Nintendo. Y si quisiera negociar para yo firmar que retiro la denuncia a cambio de una 3DS por ejemplo, lo haría. ¿Sería eso chantaje? No
#Hibadino vamos a ver, su argumento se desmonta en el momento en el que farda de ser buen ciudadano. Un buen ciudadano no se mantiene a la espera, porque si él se ha percatado de ese agujero, puede que otro listo haga lo mismo. El único motivo que le lleva a mantenerse a la espera y, ante la impaciencia, lleva a cabo la redacción de un segundo mail que ya termina por mostrar que lo que buscaba era sacar tajada del asunto. Lo siento pero no, no hay duda, es un chantaje.
Y van a salir escaldados los dos, una por tener ese agujero y otro por aprovechado.
Lo veo bastante claro, el chaval un listillo y Nitendo una irresponsable por no tomar las medidas necesarias para proteger sus datos.