[Hilo Oficial] Caso "Prueba y Verás" (adan_gecko)

1, 2, 3, 4, 515
nanoxxl escribió:y quien cree a nintendo cuando parte de lo que dice es mentira
No obstante, fuentes de la compañía remarcaron ayer que el intruso había actuado mediante el uso de "varias" técnicas de 'hacking', hecho certificado por "un peritaje externo e independiente".

poner en el navegador una direccion web y darle a aceptar son ( "varias" técnicas de 'hacking' ) :-?


No se si serán técnicas de hacking, pero no creo que la gente normal sepa eso. Y aunque lo sepas si no eres el administrador no deberías ir ahí y mucho menos intentar entrar aunque sea solo dando a un botón..
Bou escribió:
cercata escribió:
Bou escribió:¿Esto podríais aclarar si es así, en algún momento lo ha dicho el usuario?

Si, en el post inicial dice que el esta registrado en esa campaña, y que acudiria al evento, por lo tanto sus datos tenian que estar allí.


¿Puedes citarme donde lo dice? Porque igual gracias a eso (y siempre según lo que decía rayito) es posible que se libre.


En el primer correo hacia el final:

Si está interesado en ponerse en contacto conmigo, por favor no dude en llamar al número de teléfono [...]. También me podrá encontrar el próximo [...] a las [...] en [...], donde precisamente acudiré a probar el producto promocionado por la campaña.
rochaspain escribió:
etoyoc escribió:Me he leído el post donde surgio el tinglado y a leer este no me da tiempo, pero permitidme un consejo. No mareeis más la perdiz. Dejaros de plataformas de afectados. Vuestros datos estaban "protegidos" por una mala contraseña "pulsar enter". Denunciando los hechos sólo podéis perjudicar al chaval que es quien se ha descargado los datos y Nintendo puede acusarle de haberlos distribuido.

Sinceramente creo que el chaval se ha metido en un buen charco y creo que cuanto menos lo removais mejor le irá.



Hablas porque a ti no te han robado los datos, no??Esta claro que los que no tienen culpa son los usuarios registrados........asi que ya me dirás tu.Si nintendo y el chaval lo han echo mal, pues que pagen las consecuencias.Es facil hablar de algo en el que no estas implicado.PLATAFORMA AFECTADOS YA¡¡¡


Hablas mal, porque si que estaban mis datos.

Lo que pasa es que yo entiendo que Nintendo tenía esos datos protegidos de una forma muy pobre, pero al fin y al cabo guardados.
ha sido un chaval el que ha entrado en un sitio adivinando la contraseña (en este caso pulsar enter) y ha hecho una copia de esos datos.

Que a Nintendo le pueden multar? Puede, depende del juez, pero el abogado de Nintendo lo va a tener a huevo: Yo las tenía guardadas y fue el denunciado el que las robó e hizo copia, así que todo el peso de la ley caerá sobre el denunciado. Después la Agencia de protección de datos dará un toque a Nintendo-o no- por su más que frágil seguridad. Eso suponiendo que aqui no se nos ha mentido y la forma de entrar era tan sencillo como pulsar "enter", que eso también tendrá que demostrarlo el denunciado.

En fin, que si quereis putear a este pobre chaval, seguid por el camino de mandar cosas a los periódicos y de asociaros y tocar los huevos a Nintendo. Ahora, si parais a reflexionar un poquito, dejad que el tema muera en vez de dar bombo a algo que pinta muy, muy feo para un forero como lo somos todos.
Pero al estar afectado por la vulnerabilidad de la web sí tendría derecho a negociar con Nintendo el cese de la denuncia y por tanto no habría chantaje, ¿no?


Pues no, por que nuevamente, sería OTRO CASO (afectado por el filtrado de datos). No tiene nada que ver con el que nos ocupa, ni serviría de eximente, ni siquiera parcial.

Manu1oo1
Eduardomp escribió:Frente a la extorsión:
---------
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

CAPÍTULO III.
DE LA EXTORSIÓN.

Artículo 243.

El que, con ánimo de lucro, obligare a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados.
------------.


Eso no queda muy claro, sinceramente dudo que pueda nadie probar tal delito con la vaga insinuación que hay en el email de adan_gecko.

Por cierto, he mirado que la web del "delito" esta indexada en google, pero el caché es de hace 13 horas. ¿Estaría indexada cuando lo miro el compañero eoliano? En ese caso sería una web pública ¿sí?.
Pedritu escribió:
Eduardomp escribió:Frente a la extorsión:
---------
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

CAPÍTULO III.
DE LA EXTORSIÓN.

Artículo 243.

El que, con ánimo de lucro, obligare a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados.
------------.


Eso no queda muy claro, sinceramente dudo que pueda nadie probar tal delito con la vaga insinuación que hay en el email de adan_gecko.

Por cierto, he mirado que la web del "delito" esta indexada en google, pero el caché es de hace 13 horas. ¿Estaría indexada cuando lo miro el compañero eoliano? En ese caso sería una web pública ¿sí?.

Lo comprobé en su momento y no.
JohnLeeHooker escribió:Entre el cutre intento de chantaje del usuario adan_gecko y la noticia FALSA, demagoga, editada, sesgada, partidista y parcial de Jixo están haciendo una muy buena historia. Lo peor es que la gente no se lee los comentarios para enterarse de la verdad.

+1
Luego critican aqui que se cierre las webs de piratas incumpliendo la libertad de expresion.
Una cosa es libertad y otra es inventar.
Eduardomp escribió:A Nintendo debería caerle una buena multa por no proteger debidamente los datos. Pero el usuario claramente acude a Nintendo con el fin de la extorsión, además apropiándose y almacenando datos sustraidos.

No, el chaval no extorsiona a nadie, solo pide una pequeña recompensa por haber hecho el trabajo que deberían haber hecho los ingenieros de seguridad de Nintendo o sus empresas subcontratadas.
cercata escribió:
Eduardomp escribió:A Nintendo debería caerle una buena multa por no proteger debidamente los datos. Pero el usuario claramente acude a Nintendo con el fin de la extorsión, además apropiándose y almacenando datos sustraidos.

No, el chaval no extorsiona a nadie, solo pide una pequeña recompensa por haber hecho el trabajo que deberían haber hecho los ingenieros de seguridad de Nintendo o sus empresas subcontratadas.



Lo de pequeña de donde lo sacas????

Porque en el mail no pone nada, así que puede ser de nada a 10000000000000€ de euros, no?
cercata escribió:
Eduardomp escribió:A Nintendo debería caerle una buena multa por no proteger debidamente los datos. Pero el usuario claramente acude a Nintendo con el fin de la extorsión, además apropiándose y almacenando datos sustraidos.

No, el chaval no extorsiona a nadie, solo pide una pequeña recompensa por haber hecho el trabajo que deberían haber hecho los ingenieros de seguridad de Nintendo o sus empresas subcontratadas.

Eso sigue siendo chantaje :-| aunque Adán asegura que nunca buscó una recompensa o chantajear a nadie.
Manu1001 escribió:
Pero al estar afectado por la vulnerabilidad de la web sí tendría derecho a negociar con Nintendo el cese de la denuncia y por tanto no habría chantaje, ¿no?


Pues no, por que nuevamente, sería OTRO CASO (afectado por el filtrado de datos). No tiene nada que ver con el que nos ocupa, ni serviría de eximente, ni siquiera parcial.


¿Entonces esto que comentaba otro compañero no es cierto?

Cuando una persona se considera agraviada por un tema determinado, antes de denunciar o incluso en mitad del proceso, tiene derecho a intentar llegar a un acuerdo privado entre las partes. Eso no es extorsión, caballeros. Eso es simplemente el sistema legal que tenemos. De hecho, antes de interponer una querella antes era obligatorio (y ahora opcional) pasar por un trámite de "conciliación", en la que básicamente las partes intentan llegar a un acuerdo entre ellas antes de entrar en el juzgado. Bien
¿Dónde está básicamente la diferencia entre conciliar y extorsionar según yo veo este caso? En si el usuario era uno de los afectados por el robo de los datos. Si es un tercero NO lesionado por la falta de custodia, estaría extorsionando a la marca para no hacer público un hecho del que tiene obligación legal de dar parte a las autoridades (todo ciudadano tiene la obligación legal de denunciar si tiene conocimiento de un presunto delito) Otra cosa es que el usuario sea una persona que ha visto sus datos filtrados y le diga a la empresa "hola, me siento PERSONALMENTE lesionado por tu conducta y te llamo a negociar como paso previo a la interposición de una demanda".


Pregunto desde la ignorancia más profunda, los dos parecéis saber bastante y sin embargo lo que decís se contradice.

Pedritu escribió:Eso no queda muy claro, sinceramente dudo que pueda nadie probar tal delito con la vaga insinuación que hay en el email de adan_gecko.


Bueno, la interpretación será vaga pero sólo cabe sacar de ella una interpretación, y es que el usuario quería obtener algún tipo de beneficio a cambio de no denunciar. ¿Obtener qué? Eso es lo que ya no sabemos.
Bou escribió:
Manu1001 escribió:
Pero al estar afectado por la vulnerabilidad de la web sí tendría derecho a negociar con Nintendo el cese de la denuncia y por tanto no habría chantaje, ¿no?


Pues no, por que nuevamente, sería OTRO CASO (afectado por el filtrado de datos). No tiene nada que ver con el que nos ocupa, ni serviría de eximente, ni siquiera parcial.


¿Entonces esto que comentaba otro compañero no es cierto?

Cuando una persona se considera agraviada por un tema determinado, antes de denunciar o incluso en mitad del proceso, tiene derecho a intentar llegar a un acuerdo privado entre las partes. Eso no es extorsión, caballeros. Eso es simplemente el sistema legal que tenemos. De hecho, antes de interponer una querella antes era obligatorio (y ahora opcional) pasar por un trámite de "conciliación", en la que básicamente las partes intentan llegar a un acuerdo entre ellas antes de entrar en el juzgado. Bien
¿Dónde está básicamente la diferencia entre conciliar y extorsionar según yo veo este caso? En si el usuario era uno de los afectados por el robo de los datos. Si es un tercero NO lesionado por la falta de custodia, estaría extorsionando a la marca para no hacer público un hecho del que tiene obligación legal de dar parte a las autoridades (todo ciudadano tiene la obligación legal de denunciar si tiene conocimiento de un presunto delito) Otra cosa es que el usuario sea una persona que ha visto sus datos filtrados y le diga a la empresa "hola, me siento PERSONALMENTE lesionado por tu conducta y te llamo a negociar como paso previo a la interposición de una demanda".


Pregunto desde la ignorancia más profunda, los dos parecéis saber bastante y sin embargo lo que decís se contradice.

Pedritu escribió:Eso no queda muy claro, sinceramente dudo que pueda nadie probar tal delito con la vaga insinuación que hay en el email de adan_gecko.


Bueno, la interpretación será vaga pero sólo cabe sacar de ella una interpretación, y es que el usuario quería obtener algún tipo de beneficio a cambio de no denunciar. ¿Obtener qué? Eso es lo que ya no sabemos.

No es totalmente cierto, no... eso es cuando ya hay un proceso judicial, pero no era el caso.
http://buscon.rae.es/draeI/SrvltObtenerHtml?LEMA=robar&SUPIND=0&CAREXT=10000&NEDIC=No

Respecto a lo de robar, el chaval no ha robado nada, ha hecho una copia de los datos para poderla presentar como prueba del delito de Nintendo. Mientras no haga nada mas con esos datos, y solo los presente al juez, no ha robado nada.

etoyoc escribió:Lo de pequeña de donde lo sacas????

Porque en el mail no pone nada, así que puede ser de nada a 10000000000000€ de euros, no?

Lo supongo ... si nos atenemos a los hechos, el chaval no pide nada en ningun momento, solo habla de dialogar ...
capitanquartz escribió:No es totalmente cierto, no... eso es cuando ya hay un proceso judicial, pero no era el caso.


Buf, pues entonces que le sea leve.
cercata escribió:http://buscon.rae.es/draeI/SrvltObtenerHtml?LEMA=robar&SUPIND=0&CAREXT=10000&NEDIC=No

Respecto a lo de robar, el chaval no ha robado nada, ha hecho una copia de los datos para poderla presentar como prueba del delito de Nintendo. Mientras no haga nada mas con esos datos, y solo los presente al juez, no ha robado nada.

etoyoc escribió:Lo de pequeña de donde lo sacas????

Porque en el mail no pone nada, así que puede ser de nada a 10000000000000€ de euros, no?

Lo supongo ... si nos atenemos a los hechos, el chaval no pide nada en ningun momento, solo habla de dialogar ...

Efectivamente, mientras solo utilice esos datos como prueba, no hay delito alguno. Otra cosa sobre lo de la carta, es que diese a pensar que les estaban chantajeando... y que levante la mano el que no habría pensado lo mismo.
Manu1001 escribió:Recapitulemos. Por que Gecko la ha cagado de tantas formas, que es difícil no verlo.

Un usuario encuentra "por casualidad" una forma de acceder a los datos de usuario.
Primer punto discutible. Un usuario no intenta acceder al panel de administración "por casualidad". Hay una intencionalidad obvia, y eso puede ser interpretado como hacking por cualquier juez. Por muy simple que sea la forma de acceder.

Luego, y con fines aún no aclarados, saca copia de los datos allí contenidos. Y van dos. Como bien se ha dicho, una cosa es que encuentres una puerta de un coche abierta, y otra bien distinta que te metas y te lo lleves. Y ni eso. Antes, habías buscado la "llave". Y lo que es peor en este caso, has accedido a datos privados de caracter personal a los que no tienes acceso legalmente. ¿Y por qué digo eso si la puerta estaba "abierta"? (que va a ser que no a efectos legales). Pues por que en una BD registrada en la LOPD (y no me cabe duda de que esta lo estaba), únicamente tienen acceso de forma legal su administrador, y aquellos usuarios que él mismo designe. Por ejemplo, si te encuentras un CD con datos por la calle y no lo entregas de inmediato, el simple hecho de introducirlo en tu ordenador es delictivo. Podéis informaros si queréis. Yo ya tuve que hacerlo (y bien a fondo) por motivos de empresa, y así son las cosas.

Más tarde, anuncia a los cuatro vientos, no sólo que los tiene, sino que ha accedido a ellos. Otra enorme cagada. Y además, pone como prueba las iniciales de un usuario y la letra de su DNI, vanagloriándose de ello. Eso agrava (y de forma extraordinaria) el punto anterior, ya que queda probado que se llevó los datos, los introdujo en su ordenador, y accedió a ellos, delito contemplado claramente en la LOPD con graves sanciones.

En lugar de INMEDIATAMENTE, comunicar a Nintendo la vulnerabilidad, intenta "negociar" con ellos. No tengo por que dudar de la palabra de esta persona, pero esto APESTA a kilómetros. Y sobre todo por un detalle en el que no se ha incidido lo bastante. Si os fijáis, en ningún momento aclara a Nintendo CUÁL ES LA FORMA en que se accede a los datos. Tan sólo habla de "una vulnerabilidad". Es decir, cualquier juez con dos dedos de frente interpretará que su intención no era solucionar dicho agujero (o se lo hubiera comunicado para que procedieran a su arreglo), sino que les da "como prueba" un extracto de los datos accesibles. Otra enorme cagada (y van...). No solo vuelve a probar que ha accedido a los datos, sino que deja claro que quiere "enseñar su trofeo" con el fin de que Nintendo se preste a la "negociación". Por si no lo creen, vaya... ¿No hubiera sido más fácil (y honrado) aclararles cuál era la famosa puerta trasera, y así no hubiera cabido necesidad de más "pruebas"? En serio, ahora se podrá explicar como se quiera, pero los jueces van a interpretar esto MUY MAL.

Una vez Nintendo encuentra la vulnerabilidad, en lugar de felicitarlos por ello, les escribe un nuevo correo en un tono de frustración evidentísimo, en el que, contra todo rastro de cordura, vuelve a incidir en esa "negociación" y... ¡les da un plazo para ello!. Esto, directamente, es de locos. ¿Como que "salvo que en los próximos días se me comunique oposición por su parte, denunciaré"? ¿Qué tiene que "oponer" Nintendo? ¿Un delincuente puede "oponerse" a que lo denuncies? No, de nuevo ningún juez en su sano juicio (valga la redundancia) interpretará eso más que en la línea que parece que va... Negociemos, lleguemos a un acuerdo, y negaré hasta que el cielo es azul... Solo más tarde, cuando ve que esto se le ha ido de las manos, publica en EOL la forma de acceder a los datos... más como descargo suyo (¿veís lo fácil que era?) que otra cosa. Y hasta hoy. 

Sinceramente, cuanto más leo acerca de esto, peor me huele... y peor me temo que va a acabar. A Nintendo le caerá una buena multa (posiblemente por encima de los 60.000 euros, sanciones que he visto por cosas menos importantes), pero al forero le va a caer la del pulpo. Y lo siento, pero es que esto no tiene defensa posible. Como mucho (su abogado se lo confirmará) podrá agarrarse a que el chantaje no es evidente (por eso de que no pide "nada" a cambio, aunque lo insinúe), con lo que se libraría de penas de prisión. Pero la multa (y gorda), creo que va a ser inevitable. Ahora si que haría bien en negociar con Nintendo, aunque eso tampoco le va a librar (la AEPD actua de oficio). Pero puede que le reduzca el importe de la multa y le librará de las costas de un juicio por amenazas que puede ser largo y muy costoso.

Es lo que pasa por jugar con fuego.


Manu1oo1

PD) Se me olvidaba esto...

Si has puesto tus datos personales en una web, al menos tienes derecho a saber que tus datos se encuentran en buenas manos. Si descubres que cualquiera puede acceder a tus datos por un método tan obvio, es normal que intentes avisar por medio a que tus datos puedan ser usados por cualquier tercero, y que tomes capturas y grabaciones como prueba de tal irresponsabilidad. Lo dela carta ya es otra historia...


Meeec. El hecho de que haya datos tuyos en una BD no te autoriza a acceder a ella sin ser usuario autorizado. Es de cajón. Si no, registrarme en cualquier sitio me legitimaría para hackearlo "para ver si están seguros". No le déis más vueltas. Los únicos que tienen permiso para acceder a una BD, son el administrador de los datos, y aquellos usuarios que él autorice expresamente, que tienen que constar en el Documento de Seguridad. No cuela.




Bueno, este mensaje es con el que más me identifico, así que doy la enhorabuena al autor y recomiendo su lectura.
capitanquartz escribió:No es totalmente cierto, no... eso es cuando ya hay un proceso judicial, pero no era el caso.

Estas seguro ? También existe la conciliación extrajudicial ...
cercata escribió:
capitanquartz escribió:No es totalmente cierto, no... eso es cuando ya hay un proceso judicial, pero no era el caso.

Estas seguro ? También existe la conciliación extrajudicial ...

No estoy tampoco seguro del todo, aunque creo que en este caso puede ser interpretado perfectamente como un chantaje.
capitanquartz escribió:Efectivamente, mientras solo utilice esos datos como prueba, no hay delito alguno. Otra cosa sobre lo de la carta, es que diese a pensar que les estaban chantajeando... y que levante la mano el que no habría pensado lo mismo.

Las denuncias se hacen en base a hechos, no a suposiciones.
En caso de que creas que pasa algo, puedes llamar a la policia y decirles que hay algo sospechoso ...
cercata escribió:
capitanquartz escribió:Efectivamente, mientras solo utilice esos datos como prueba, no hay delito alguno. Otra cosa sobre lo de la carta, es que diese a pensar que les estaban chantajeando... y que levante la mano el que no habría pensado lo mismo.

Las denuncias se hacen en base a hechos, no a suposiciones.
En caso de que creas que pasa algo, puedes llamar a la policia y decirles que hay algo sospechoso ...

Pero al interpretarse la carta, cualquiera pensaría eso. Me parece lo más normal.
¿Entonces esto que comentaba otro compañero no es cierto?


No es que no sea cierto, pero si muy interpretable, como ya dije antes...

Manu1001 escribió:La ley establece que si eres testigo de un delito, tienes la OBLIGACIÓN de denunciar. Y luego, si quieres, ya pueden hablar los abogados para ver si llegan a un acuerdo, en los casos en que esto sea posible (en este por ejemplo, no, ya que la Agencia de Protección de Datos tiene la obligación de seguir adelante aunque tu retires la denuncia).


Sobre lo de la conciliación extrajudicial, solo se aplica a determinados delitos, y en casos muy concretos. En este, por ejemplo, uno de los primeros errores del forero fue, precisamente, no denunciar, e intentar llegar a un "acuerdo", ya que encontrar una vulnerabilidad grave en una base de datos y no denunciarlo es... denunciable.

Además, la AEPD tiene la obligación de actuar de oficio, así que en este caso no hay acuerdo que valga... salvo en los cargos por amenazas que le van a caer sin duda.

Manu1oo1
capitanquartz escribió:Pero al interpretarse la carta, cualquiera pensaría eso. Me parece lo más normal.

Cualquiera que le guste esparcir rumores antes de verificarlos.
Desde luego que un juez con 2 dedos frente, no le condenará por falta de pruebas.

Yo ademas "supongo" que no había extorsión, simplemente pedía una compensación por la negligencia de Nintento con sus datos personales, y segun comentar alguien en el foro, en España eso es perfectamente legal, se llama "Conciliación Extrajudicial". Pero aunque me equivoque, y su intención fuese la extorsión, no hay pruebas de ello, por lo tanto no se puede condenar.

Manu1001 escribió:ya que encontrar una vulnerabilidad grave en una base de datos y no denunciarlo es... denunciable.

Ahh, sí ? Y cual es el nombre del delito que se le imputa ?
Desde luego no "Revelación de secretos" ni "Amenazas" que es de lo que le acusa Nintendo.
Desde luego que un juez con 2 dedos frente, no le condenará por falta de pruebas.


Yo no pondría la mano en el fuego. Primero, no denuncia. Luego, no comunica la vulnerabilidad. Luego, pone "pruebas" encima de la mesa de que ha accedido a los datos. Y para rematar, pide un "acuerdo" que los "libraría de innecesarias batallas legales" en DOS ocasiones, dando plazos para ello. Por un delito sobre el que no cabe negociacíon legal alguna (una vulnerabilidad en una BD).

No le deis falsas esperanzas al chaval, que la cosa pinta mal. Y más le vale preparar una BUENA defensa que ir de sobrado dádolo por ganado.

Manu1oo1
Por favor, que alguien haga un script o algo, para que al entrar a este hilo, lo primero que se lea sea el post de Manu1001, que mas claro no lo ha podido dejar y es lo mejor que se puede leer en este hilo, obviamente estoy completamente de acuerdo con el, y no, no deseo suerte al chaval por que sinceramente pienso que la cosa no va a ir mucho mas allá de un susto, aunque quien sabe...
Manu1001 escribió:
Desde luego que un juez con 2 dedos frente, no le condenará por falta de pruebas.


Yo no pondría la mano en el fuego. Primero, no denuncia. Luego, no comunica la vulnerabilidad. Luego, pone "pruebas" encima de la mesa de que ha accedido a los datos. Y para rematar, pide un "acuerdo" que los "libraría de innecesarias batallas legales" en DOS ocasiones, dando plazos para ello. Por un delito sobre el que no cabe negociacíon legal alguna (una vulnerabilidad en una BD).

No le deis falsas esperanzas al chaval, que la cosa pinta mal. Y más le vale preparar una BUENA defensa que ir de sobrado dádolo por ganado.

Manu1oo1

a quien , segun el se lo comunico a nintendo y espero a que nintendo lo arregara antes de hacerlo publico
Manu1001 escribió:
Desde luego que un juez con 2 dedos frente, no le condenará por falta de pruebas.

Yo no pondría la mano en el fuego. Primero, no denuncia. Luego, no comunica la vulnerabilidad. Luego, pone "pruebas" encima de la mesa de que ha accedido a los datos. Y para rematar, pide un "acuerdo" que los "libraría de innecesarias batallas legales" en DOS ocasiones, dando plazos para ello. Por un delito sobre el que no cabe negociacíon legal alguna (una vulnerabilidad en una BD).

De momento nadie le ha acusado por no denunciar ... así que de momento no tiene que defenderse.

Y lo otro que dices, yo no lo veo como extorsión, solo pide un pago a cambio de darles el resultado de su trabajo comprobando la seguridad del sitio.

Manu1001 escribió:No le deis falsas esperanzas al chaval, que la cosa pinta mal. Y más le vale preparar una BUENA defensa que ir de sobrado dádolo por ganado.

Eso por supuesto, que no se confie, que lo prepare bien.
cercata escribió:Y lo otro que dices, yo no lo veo como extorsión, solo pide un pago a cambio de darles el resultado de su trabajo comprobando la seguridad del sitio.


Si yo entro a tu casa, secuestro a un hijo tuyo y luego te llamo para pedirte un pago por el resultado de mi trabajo comprobando la seguridad de tu hogar tampoco lo verías extorsión?

O por poner un ejemplo mas suave, voy a tu casa y me lio a pedradas con tus ventanas, luego espero que me des un pago por comprobar la seguridad de tus cristales y no lo veas extorsión tampoco xD.
Scatsy escribió:O por poner un ejemplo mas suave, voy a tu casa y me lio a pedradas con tus ventanas, luego espero que me des un pago por comprobar la seguridad de tus cristales y no lo veas extorsión tampoco xD.

No tiene nada que ver, en el caso de datos, se copian, el propietario no los pierde. Como mucho me podrias decir que sacas unas fotos del interior de mi casa para demostrar que has entrado en ella.

Pero vamos, que se te va la olla, vaya símil mas malo. Ya puestos, podías haber dicho que mato a un hijo tuyo y me llevo al otro, para que fuese mas aberración todavía.
El ejemplo es exagerado pero la base es la misma, no es un simil malo, simplemente digo lo que has dicho tu, que solo compruebo la seguridad de tus ventanas o de tu hogar y exijo un pago por ello.

Si quieres digo que te he sacado fotos mientras estabas en pelotas duchandote y leugo te digo que si no me das un pago por comprobar la seguridad de la privacidad de tu hogar las difundo por internet xD.
Scatsy escribió:El ejemplo es exagerado pero la base es la misma, no es un simil malo, simplemente digo lo que has dicho tu, que solo compruebo la seguridad de tus ventanas o de tu hogar y exijo un pago por ello.

Sigue sin valer tu simil, el no ha roto nada, ni ha hecho incurrrir a Nintendo en ningun gasto.

Scatsy escribió:Si quieres digo que te he sacado fotos mientras estabas en pelotas duchandote y leugo te digo que si no me das un pago por comprobar la seguridad de la privacidad de tu hogar las difundo por internet xD.

Tampoco vale este, el no amenaza con difundirlo por internet, si no de denunciarlo a la AEPD.

Seria mas entras en mi casa, y me ves maltratando a tu hijo, y me sacas fotos, y me pides una compensación por los malos tratos, para poder pagar los psicologos de tu hijo, y no denunciarme.
Vale pues eso que has dicho ¿tampoco es extorsión?
cercata escribió:Seria mas entras en mi casa, y me ves maltratando a tu hijo


Y a diez niños más, puestos a concretar. Ya que en la lista no había sólo datos suyos.

cercata escribió:y me sacas fotos, y me pides una compensación por los malos tratos, para poder pagar los psicologos de tu hijo, y no denunciarme.


A que ahora cambia el ejemplo.
Manu1001 no es del todo cierto lo que comentas y te lo digo por propia experiencia.

Para empezar la AEPD te exige que para que denuncies un incumplimiento de la LOPD seas un afectado por lo que si en un momento dado se detecta un fallo como es el caso no siendo afectado no tienes obligación alguna con la AEPD.

Ahora yendo al caso y hablando desde la propia experiencia tras un problema con una empresa con el añadido del incumplimiento de la LOPD, en un primer momento contacto con dicha empresa mediante burofax para dejar constancia de los problemas que he tenido y que están incumpliendo la LOPD y que para evitar tener que ir a juicio he calculado que el perjuicio que me han causado equivale a X dinero.

La empresa por su parte respondió con una negativa y me invitaban a tomar acciones legales si lo veía necesario.

Tras hablar con un abogado especializado en nuevas tecnologías el procedimiento a seguir ha sido el siguiente:
- Por un lado realizado la pertinente denuncia por el problema que he tenido con dicha empresa
- Por otro lado denuncia ante la AEPD por incumplir la LOPD

Por un lado en la denuncia contra la empresa hago constar (por recomendación de mi abogado) mi buena fe en todo momento intentado llegar a un acuerdo con la empresa para evitar acciones legales y que la única respuesta de la empresa o bien ha sido ignorar el asunto o dar largas.

Respecto al tema de la LOPD tengo que esperar a que se realice la investigación correspondiente y que se me notificara. Una vez se me notifique en el caso de que sea culpable puedo realizar la denuncia pertinente para pedirle una indemnización por los datos y perjuicios que me han causado al no cumplir con la LOPD. Para aclarar, la denuncia ante la AEPD lo único que hace en caso de ser culpable sancionarlo.

Aun estoy pendiente de ambos temas por lo que no puedo decir mucho mas pero por lo que me ha comentado mi abogado es la estrategia de este tipo de empresas, apuran apuran por si la gente se echa atrás hasta que cuando se ven con la soga al cuello justo antes del juicio te viene su abogado diciéndote que tiene potestad para llegar a un acuerdo económico y así evitar el juicio.

Si estoy equivocado por favor citame que ley o donde pone que sea necesario realizar la denuncia pertinente antes de intentar llegar a un acuerdo, mas que nada por que entonces segun tu mi abogado me ha metido en un buen problema también
Scatsy escribió:El ejemplo es exagerado pero la base es la misma, no es un simil malo, simplemente digo lo que has dicho tu, que solo compruebo la seguridad de tus ventanas o de tu hogar y exijo un pago por ello.

Si quieres digo que te he sacado fotos mientras estabas en pelotas duchandote y leugo te digo que si no me das un pago por comprobar la seguridad de la privacidad de tu hogar las difundo por internet xD.

no es lo mismo , el fallo de nintendo afecta a mas de 4000 personas y el le a podido pedir una compenzacion por ser un afectado ( es un suponer ) , el fallo de seguridad es de nintendo y si es verdad que era tan facil acceder a los datos no creo que sea un delito hacerlo de esa forma , otra cosa es copiar los datos y utilizarlo , nintendo tiene que demostra si copio los datos para hacerles un chantaje/utilizarlo con un fin malo o para demostrar lo facil que era
Scatsy escribió:Vale pues eso que has dicho ¿tampoco es extorsión?

No, es compensación.

Bou escribió:
cercata escribió:Seria mas entras en mi casa, y me ves maltratando a tu hijo


Y a diez niños más, puestos a concretar. Ya que en la lista no había sólo datos suyos.

cercata escribió:y me sacas fotos, y me pides una compensación por los malos tratos, para poder pagar los psicologos de tu hijo, y no denunciarme.


A que ahora cambia el ejemplo.

Si, tienes razón, pero hay un matiz diferente en este caso, es que si se tapa el parche antes de que terceros accedan a los datos, no hay consecuencias para nadie, y el chaval bien se merece una compensación por descubrirlo y decírselo a Nintendo, en vez de coger los datos y hacer algo con ellos ...

Es como si encuentras una cartera con 10.000 Euros, y se la devuelves al dueño con 9.000, y le dices, me he cobrado un 10% de recompensa por encontrarla. Puede que sea mucho morro, pero le estas haciendo un favor al dueño de la cartera, y si te denuncia es que es un HP y un ingrato.
etoyoc escribió:
Manu1001 escribió:Recapitulemos. Por que Gecko la ha cagado de tantas formas, que es difícil no verlo.

Un usuario encuentra "por casualidad" una forma de acceder a los datos de usuario.
Primer punto discutible. Un usuario no intenta acceder al panel de administración "por casualidad". Hay una intencionalidad obvia, y eso puede ser interpretado como hacking por cualquier juez. Por muy simple que sea la forma de acceder.

Luego, y con fines aún no aclarados, saca copia de los datos allí contenidos. Y van dos. Como bien se ha dicho, una cosa es que encuentres una puerta de un coche abierta, y otra bien distinta que te metas y te lo lleves. Y ni eso. Antes, habías buscado la "llave". Y lo que es peor en este caso, has accedido a datos privados de caracter personal a los que no tienes acceso legalmente. ¿Y por qué digo eso si la puerta estaba "abierta"? (que va a ser que no a efectos legales). Pues por que en una BD registrada en la LOPD (y no me cabe duda de que esta lo estaba), únicamente tienen acceso de forma legal su administrador, y aquellos usuarios que él mismo designe. Por ejemplo, si te encuentras un CD con datos por la calle y no lo entregas de inmediato, el simple hecho de introducirlo en tu ordenador es delictivo. Podéis informaros si queréis. Yo ya tuve que hacerlo (y bien a fondo) por motivos de empresa, y así son las cosas.

Más tarde, anuncia a los cuatro vientos, no sólo que los tiene, sino que ha accedido a ellos. Otra enorme cagada. Y además, pone como prueba las iniciales de un usuario y la letra de su DNI, vanagloriándose de ello. Eso agrava (y de forma extraordinaria) el punto anterior, ya que queda probado que se llevó los datos, los introdujo en su ordenador, y accedió a ellos, delito contemplado claramente en la LOPD con graves sanciones.

En lugar de INMEDIATAMENTE, comunicar a Nintendo la vulnerabilidad, intenta "negociar" con ellos. No tengo por que dudar de la palabra de esta persona, pero esto APESTA a kilómetros. Y sobre todo por un detalle en el que no se ha incidido lo bastante. Si os fijáis, en ningún momento aclara a Nintendo CUÁL ES LA FORMA en que se accede a los datos. Tan sólo habla de "una vulnerabilidad". Es decir, cualquier juez con dos dedos de frente interpretará que su intención no era solucionar dicho agujero (o se lo hubiera comunicado para que procedieran a su arreglo), sino que les da "como prueba" un extracto de los datos accesibles. Otra enorme cagada (y van...). No solo vuelve a probar que ha accedido a los datos, sino que deja claro que quiere "enseñar su trofeo" con el fin de que Nintendo se preste a la "negociación". Por si no lo creen, vaya... ¿No hubiera sido más fácil (y honrado) aclararles cuál era la famosa puerta trasera, y así no hubiera cabido necesidad de más "pruebas"? En serio, ahora se podrá explicar como se quiera, pero los jueces van a interpretar esto MUY MAL.

Una vez Nintendo encuentra la vulnerabilidad, en lugar de felicitarlos por ello, les escribe un nuevo correo en un tono de frustración evidentísimo, en el que, contra todo rastro de cordura, vuelve a incidir en esa "negociación" y... ¡les da un plazo para ello!. Esto, directamente, es de locos. ¿Como que "salvo que en los próximos días se me comunique oposición por su parte, denunciaré"? ¿Qué tiene que "oponer" Nintendo? ¿Un delincuente puede "oponerse" a que lo denuncies? No, de nuevo ningún juez en su sano juicio (valga la redundancia) interpretará eso más que en la línea que parece que va... Negociemos, lleguemos a un acuerdo, y negaré hasta que el cielo es azul... Solo más tarde, cuando ve que esto se le ha ido de las manos, publica en EOL la forma de acceder a los datos... más como descargo suyo (¿veís lo fácil que era?) que otra cosa. Y hasta hoy. 

Sinceramente, cuanto más leo acerca de esto, peor me huele... y peor me temo que va a acabar. A Nintendo le caerá una buena multa (posiblemente por encima de los 60.000 euros, sanciones que he visto por cosas menos importantes), pero al forero le va a caer la del pulpo. Y lo siento, pero es que esto no tiene defensa posible. Como mucho (su abogado se lo confirmará) podrá agarrarse a que el chantaje no es evidente (por eso de que no pide "nada" a cambio, aunque lo insinúe), con lo que se libraría de penas de prisión. Pero la multa (y gorda), creo que va a ser inevitable. Ahora si que haría bien en negociar con Nintendo, aunque eso tampoco le va a librar (la AEPD actua de oficio). Pero puede que le reduzca el importe de la multa y le librará de las costas de un juicio por amenazas que puede ser largo y muy costoso.

Es lo que pasa por jugar con fuego.


Manu1oo1

PD) Se me olvidaba esto...

Si has puesto tus datos personales en una web, al menos tienes derecho a saber que tus datos se encuentran en buenas manos. Si descubres que cualquiera puede acceder a tus datos por un método tan obvio, es normal que intentes avisar por medio a que tus datos puedan ser usados por cualquier tercero, y que tomes capturas y grabaciones como prueba de tal irresponsabilidad. Lo dela carta ya es otra historia...


Meeec. El hecho de que haya datos tuyos en una BD no te autoriza a acceder a ella sin ser usuario autorizado. Es de cajón. Si no, registrarme en cualquier sitio me legitimaría para hackearlo "para ver si están seguros". No le déis más vueltas. Los únicos que tienen permiso para acceder a una BD, son el administrador de los datos, y aquellos usuarios que él autorice expresamente, que tienen que constar en el Documento de Seguridad. No cuela.




Bueno, este mensaje es con el que más me identifico, así que doy la enhorabuena al autor y recomiendo su lectura.


Efectivamente el colega lo ha clavado en los pasos.
Resumen:

Nintendo- Multon por la LOPD.
User- Falta leve y multa por actuar de esa manera.
nanoxxl escribió:y el le a podido pedir una compenzacion por ser un afectado ( es un suponer )

Pero no lo ha hecho.

Lo que ha hecho ha sido pedir una compensación o sino los denunciaba, y una vez la hubiera recibido les diria el fallo. No digo que sea denunciable por extorsión o chantaje o lo que sea, no tengo ningun conocimiento sobre leyes, pero buenas intenciones no ha habido en ningún momento.

cercata escribió:Es como si encuentras una cartera con 10.000 Euros, y se la devuelves al dueño con 9.000, y le dices, me he cobrado un 10% de recompensa por encontrarla. Puede que sea mucho morro, pero le estas haciendo un favor al dueño de la cartera, y si te denuncia es que es un HP y un ingrato.

Me estás diciendo que si te quitan 1000€ y encima tienen la cara de decirtelo sonrientemente, no le partes la idem? XD
Vamos que ponga lo que ponga me vais a decir que no es lo mismo no? me descojono hoyga y si yo pierdo la cartera con 10.000€ y me la devuelve un tio y me dice "oye que me he quedado con 1000€ así for teh lulz" pasarían dos cosas, la primera es que me cagaría en toda su puta madre y en su familia y la segunda es que le lloverían hostias hasta devolverme los 1000€.
Bueno, acabo de leer un poco el hilo por encima. Desde fuera sique interpreto cierta extorsión o chantaje o como querais llamarlo,

primero el forero envia un email comentando que pensaba denunciarles pero que se podría negociar para no hacerlo, nintendo no contesta pero subsana el error, el usuario ve que ha sido subsanado y pese a ello comunica que va a continuar con su denuncia porque no han querido negociar con él.

Yo, desde fuera veo que la finalidad de esos emails o de esa negociación no era subsanar el error sino conseguir otra cosa a cambio de no denunciar.

Pero vamos, sin tener ni idea de derecho a mi no me parece algo que vaya a tener duras consecuencias..
Elkri escribió:Si estoy equivocado por favor citame que ley o donde pone que sea necesario realizar la denuncia pertinente antes de intentar llegar a un acuerdo, mas que nada por que entonces segun tu mi abogado me ha metido en un buen problema también

Yo creo que puedes estar tranquilo, me parece a mi que tu abogado es mas de fiar que este Manu1001.
Por lo que cuentas, lo que pretende Nintendo es acojonar al chaval para que no les denuncie a ellos, pq saben que si el chaval va hasta el final con un abogado decente (que no bueno) tiene todas las de ganar.
Por cierto Elkri, buenisima tu aportación al hilo !!!!

Turyx escribió:
cercata escribió:Es como si encuentras una cartera con 10.000 Euros, y se la devuelves al dueño con 9.000, y le dices, me he cobrado un 10% de recompensa por encontrarla. Puede que sea mucho morro, pero le estas haciendo un favor al dueño de la cartera, y si te denuncia es que es un HP y un ingrato.

Me estás diciendo que si te quitan 1000€ y encima tienen la cara de decirtelo sonrientemente, no le partes la idem? XD

Le llamaría de todo, y le diría que la recompensa me corresponde a mi decidirla, pero nada mas ...
cercata escribió:Si, tienes razón, pero hay un matiz diferente en este caso, es que si se tapa el parche antes de que terceros accedan a los datos, no hay consecuencias para nadie, y el chaval bien se merece una compensación por descubrirlo y decírselo a Nintendo, en vez de coger los datos y hacer algo con ellos ...


Vamos, que pones la denuncia sin que te maltraten al niño XD

En fin, dejad los símiles ya que cada vez se están volviendo más absurdos y el caso es lo bastante simple como para no tener que recurrir a ellos.
cercata escribió:Le llamaría de todo, y le diría que la recompensa me corresponde a mi decidirla, pero nada mas ...


Vaya ingrato estas echo :-|
Si alguien conoce un delito y no lo denuncia. Esta persona también esta incurriendo en un delito según el codigo penal.
Scatsy escribió:y si yo pierdo la cartera con 10.000€ y me la devuelve un tio y me dice "oye que me he quedado con 1000€ así for teh lulz" pasarían dos cosas, la primera es que me cagaría en toda su puta madre y en su familia y la segunda es que le lloverían hostias hasta devolverme los 1000€.

Blah blah, menos lobos caperucita. Yo lo tengo comprobado, los que reparten tortas de verdad, nunca van por ahí diciendo cosas así.
Por cierto, debería denunciarte por agresión por eso que has dicho ... ya puestos a poner denuncias sin hechos, solo con especulaciones.

Bou escribió:Vamos, que pones la denuncia sin que te maltraten al niño XD

En fin, dejad los símiles ya que cada vez se están volviendo más absurdos y el caso es lo bastante simple como para no tener que recurrir a ellos.

No hacen falta para los que conocen el mundo digital, pero parece que hay muchos que no lo saben.

¿ Que le había costado a Nintendo Ofrecerle una 3DS a cambio de haberles hecho el trabajo que deberían haber hecho sus ingenieros y no hicieron ?
Es que hablar de extorsión por algo así, me parece ridiculo !!!!!
cercata escribió:Blah blah, menos lobos caperucita. Yo lo tengo comprobado, los que reparten tortas de verdad, nunca van por ahí diciendo cosas así.


Claro, dan las gracias por robar 1000€ por la cara :-|

El tema es un chantaje claro, los mails quedan bien claro, ademas repetidamente xD, a mi me parece ridiculo algunas justificaciones que estais dando por aquí.
Puedo deciros que acabo de hablar por teléfono con un periodista del periódico El País que me pidió que contactase con él acerca de este asunto. Le he remitido a este mismo hilo para que pueda ver acerca del caso y que al menos así los medios de comunicación conozcan las 2 versiones de esta historia ;-)

He procurado enfatizar acerca de lo sencillo que era acceder a los datos, que no se llevo al cabo ninguna "técnica de cracking" y que podían contactar conmigo para lo que quisieran.

Saludos.
cercata escribió:No hacen falta para los que conocen el mundo digital, pero parece que hay muchos que no lo saben.


Lo único tocante al caso que entra en el ámbito informático es que el usuario ha accedido a una base de datos privada cuyo único mecanismo de seguridad era que te pedía usuario y pass, pero aun si dejabas los campos en blanco te permitía el acceso. Y creo que hasta ahí todo el mundo en EOL llega.

Ya aparte de eso los pocos conceptos que hay que manejar no son informáticos sino legales, y son mucho más fáciles de discutir si nos ceñimos al caso que si empezamos a hablar de carteras perdidas, niños maltratados, puertas abiertas con pomos cerrados, enanitos de jardín, florecillas y mariposas.
Para empezar la AEPD te exige que para que denuncies un incumplimiento de la LOPD seas un afectado por lo que si en un momento dado se detecta un fallo como es el caso no siendo afectado no tienes obligación alguna con la AEPD.


Fíjate si eso no es como cuentas, que la LOPD permite la denuncia, ya no solo sin ser afectado, sino incluso ANÓNIMA, en determinados casos.

• En este sentido, la cancelación implicará el bloqueo de la información si pudiesen derivarse responsabilidades posteriores, algo que resulta factible en este ámbito. Por ello que se recomienda bloquear (conservar de forma separada sin realizar ningún tipo de tratamiento y de forma totalmente confidencial) la información durante un plazo prudencial de un año, únicamente a expensas de una reclamación por parte de un juzgado u otra administración pública con autoridad en la materia (si cumplido ese plazo existiesen expectativas claras de recibir una solicitud de algún tipo de autoridad pública sobre esta información, obviamente, deberá conservarse).


Pero oye... si os quedáis más tranquilos, nada, que no se preocupe el chaval y vaya al juicio sin abogado. Pero os recuerdo que la AEPD no ha hablado todavía, y esos pueden actuar de oficio, sin necesidad de denuncia alguna.



Manu1oo1
cercata escribió:¿ Que le había costado a Nintendo Ofrecerle una 3DS a cambio de haberles hecho el trabajo que deberían haber hecho sus ingenieros y no hicieron ?
Es que hablar de extorsión por algo así, me parece ridiculo !!!!!


¿El tono de los Emails?

Yo me extrañé cuando Adan comento el fallo y que le había mandado un correo a Nintendo y todavía no había recibido respuestas. Yo le dije que por lo menos le deberían dar las gracias y que si fuese yo, una 3DS (en plan "amigo").

Pero luego ves los Email, y cualquiera que reciba eso le puede sonar a chantaje. Y decid lo que queráis, pero a nadie le gusta estar obligado a algo.

Con el símil de la cartera es como si el que la encuentra, para devolvértela te pida compensación. Tu seguramente le darías algo a modo de agradecimiento, pero no te gustaría sentirte obligado a hacerlo por su imposición.
Dejando a parte el tema de si el chaval ha cometido un delito por no denunciar, que los hechos están claros y aunque yo no sepa si ha incurrido en delito o no, para un Juez tiene que ser algo banal, respecto a la acusación de Nintendo:

Si yo fuese juez, no solo inocentaría al chaval de los delitos que Nintendo le acusa, 'revelación de secretos' y 'amenazas', si no que ademas buscaría alguna ley que me permitiese ponerle a Nintendo una multa ejemplar por utilizar los tribunales para obtener publicidad gratuita poniendo denuncias infundadas de mala fe.

Y luego por otro lado queda la demanda que se ponga contra Nitendo por violar a LOPD.
731 respuestas
1, 2, 3, 4, 515