Grumo Media We create awesome product demo videos

GET A GRUMO DEMO VIDEO!

Interview with Plenty of Fish Hacker Chris Russo

UPDATE: Interview has been transcribed. See below. or Click Here to View English version.

Right after I found out that PlentyOfFish.com was hacked by 23 year old Argentinean Chris Russo from a unsettling blog post written by Markus Frind, the founder of POF, I got in contact with Chris to record in his own words the complete detailed version of the events that lead to Mark being so upset.

Chris asked to be interviewed in Spanish to avoid possible misunderstandings since English is a language he doesn't speak very well.
The following interview is about 1 hour long where Chris explains in great detail the series of events that lead to him finding a security vulnerability in PlentyOfFish, which made Marcus Frind extremely upset and motivated him to write a post on his personal blog titled PlentyOfFish Hacked.
Please read that article first to get an idea of Marcus side of the story.

I divided the interview into 4 sections. On the first one Chris does a quick intro about himself, his job, and his company.
Then we cover the technical aspects of how the vulnerability was discovered.
Then we go on to discuss every single allegation made on the mentioned blog post by Markus Frind, and finally, Chris explains how he handled the discovery and how his communications with Mark turn very ugly the very moment he suspected Mark and his colleagues were trying to extort him by potentially selling private data belonging to million of POF users.

Disclaimer: I am in no manner related or affiliated with either of both parties. I tried my best to stay impartial throughout the whole interview. However, I am no expert conducting interviews so bear with my inexperience but understand that at all times that my sole intention was find out Chris's version of the story.
Please listen to both parties arguments before drawing any conclusions.

Since the interview is in Spanish and don't have the time or resources to do a complete translation I decided to write down an executary summary of Chris's statements followed my the complete unedited audio interview in MP3 format.
To end this article I give my own opinion based on Chris's interview and Markus blog post.
You can also read Chris version of the story in a document he allowed me to share HERE.

Interview's Executive Summary

Chris and his partner Luca own a small web security film in Buenos Aires, Argentina called InSilence.
Chris found through the hacker community that POF had a security vulnerability that let them expose any POF's user account password information. They reported this to Brian Krebs who has verified the story in this post.

Following Chris goes to describe the technical aspects of the security vulnerability and how POF could have avoided it.
Basicallly is was a flaw that allowed a hacker to inject malicious code through a users profile edit page to gain access to the entires site user database.
Chris went on to record a video showing how easy was to access user password info through what is known as SQL injection.

Chris attempted to reach Marcus to alert him about the security vulnerability right away but he was away so he ended up dealing with Marku's wife instead.
Chris said that from the moment he discovered the vulnerability until got a hold of Markus's wife only half an hour passed.
Eventually they got a hold of Markus and had several email exchanges and phone conversations where Marcus discussed a possibly contract with Chris and his partner to do a complete security assessment on the site.

Everything seemed to be going fine until Mark found and ad on Freelancer.com from somene offering money to obtain private account information from POF users. Here is ad http://www.freelancer.com/projects/zeesales_929663.html

Chris thinks that Marked panicked when he assumed that they were intending to sell millions of private accounts to the poster for money. According to Chris this is when Markus totally lost it.
Mark proceeded to make several threats to expose their personal info to millions of POF users and to ruin their lives. Chris says he has kept all the emails and recorded conversations as evidence an is willing to share them with anyone that is interested.

Soon after Markus wrote an angry rambling post accusing Chris and his partner of extortion and harassment.

Audio Intreview in MP3

Audio clip: Adobe Flash Player (version 9 or above) is required to play this audio clip. Download the latest version here. You also need to have JavaScript enabled in your browser.


I am working on translating this into English, stay tuned.

Interview Transcript

Click Here to view this transcript in English.

Miguel: Me presento ahora, me llamo Miguel Hernández, soy el CEO de Grumo Media, que es una pequeña compañía aquí en Canadá que hacemos vídeos para empresas. Y aquí tenemos a Chris Russo, que de alguna manera consiguió descubrir un problema con la seguridad de la página web plentyoffish.com, que es la página más visitada del mundo para hacer, o más famosa para hacer online dating. Sí, y a partir de ahí, Markus Frind escribió un artículo en el cual decía muchas cosas sobre esta situación, y hubo una especie de drama, que ahora Chris nos va a comentar un poco cómo es. Entonces, Chris, dinos un poco de to background, ¿dónde naciste? ¿qué haces? y eso, ¿a qué te dedicas?

Chris: Exactamente Miguel, bueno, como vos mencionabas anteriormente, nosotros somos una pequeña empresa acá establecida en Buenos Aires. Nos dedicamos a la seguridad en informática, naturalmente, a hacer penetration testing, a evaluar la seguridad de aplicaciones. Bueno, más que nada trabajamos con compañías acá en Buenos Aires, y hacemos análisis de seguridad en líneas generales.

Miguel: Ah muy bien. Y tú fuiste – ¿tú eres un programador? O ¿cuál es tu posición en la empresa?

Chris: La empresa la fundé yo, la inicié yo hace unos cuatro años, aproximadamente, y bueno, sí, naturalmente programo en varios y distintos lenguajes. Más que nada, en lo que es el área web, trabajo con PHP, MySQL, pero bueno, eso – empecé a programar ya de muy joven. Alrededor de mis diez años ya estaba programando, y bueno, es ahora que me dedico más que nada a analizar la seguridad de aplicaciones y sistemas web.

Miguel: Ah perfecto. Entonces vayamos al tema de Plenty of Fish. ¿Cómo fue que descubriste esto? ¿Te contrataron para descubrir esta – ¿cómo se dice? Vulnerabilidad, o simplemente la descubriste y llamaste la atención a Markus de que había un problema con su página web. ¿Cómo fue?

Chris: No, la situación fue que nosotros justamente encontramos la vulnerabilidad e intentamos de comunicarnos con Markus Frind lo antes posible. Así que bueno, el único método de contacto que tuve, ya que le mandé mails y no tenía otra alternativa, fue comunicarme bien con la mujer de Markus Frind, que el teléfono lo pudimos encontrar gracias a Google y a ciertos documentos donde la mencionaban, así que realizamos un llamado a esta señora, a Amy y bueno le notifiqué a ella acerca de la vulnerabilidad, documenté un proof of concept, creé un usuario en el sitio web, grabamos un pequeño video donde se mostraba en qué consistía la vulnerabilidad en orden de documentar los hechos, y bueno, después de eso, aparentemente Amy se puso en contacto con algún programador o algo, pero bueno, la vulnerabilidad fue corregida a las pocas horas, si mal no recuerdo, de haber.

Miguel: Notificado.

Chris: Avisado, claro, al haber notificado estas circunstancias, y después sí empecé a recibir mails directamente de Markus Frind, que estaba un poco asustado por los hechos, bueno.

Miguel: Antes de ir a la parte del drama que hubo con Markus Frind sobre el tema, probablemente los hackers estarán muy interesados en saber cómo conseguiste entrar a la página – una de las páginas más grandes del mundo, es una pena, porque descubriste una vulnerabilidad, pero al mismo tiempo es casi como una hazaña el poder haber encontrado eso. Entonces, si nos podías decir un poco, de una manera técnica, ¿qué tipo de vulnerabilidad encontraste, y la metodología que llevaste a cabo para llegar a esa – para encontrarla? Y si fue muy difícil, te llevó mucho tiempo, un poquito, por encima, ¿qué pasos seguiste para encontrar esa vulnerabilidad?

Chris: Bueno, previamente – es una pregunta muy parecida a un incidente que hubo hace poco, donde también hice el reporte de una vulnerabilidad en thepiratebay.org, que también, bueno, surgieron estas preguntas. La vulnerabilidad fue una MS [inaudible] basada en errores, en la página, digamos, en el script donde se realiza las modificaciones del perfil de usuario. Era información mandada por post, donde naturalmente la información no estaba propiamente sanitizada, digamos, no estaba propiamente verificada, y esta información que levantaba el ASPX por post era enviado a la base de datos de una manera directa sin verificar que la información fuera válida, por ejemplo, en un campo numérico al agregar un punto y coma, o cualquier otro valor, si no fuera numérico, ya se producía un error mostrado en pantalla por parte de la aplicación retornando la información de la query que se estaba realizando. A lo cual era posible realizar una manipulación de la query para que devolviera datos, o bueno, naturalmente en el proof of concept, lo que se hizo fue documentar esta información y nada más que eso. Lo único que se hizo fue mostrar que la vulnerabilidad estaba. Ahora bien, un atacante, con esta vulnerabilidad, podría haber descargado passwords e emails, contraseñas, nombres de usuario, o bueno, lo que fuera. Desde las direcciones, o cualquier información historiada en la base de datos de una manera directa, o bien ganar acceso remoto, crear usuario con privilegios administrativos en el sistema. Pero bueno, para responder la pregunta, sí, fue una inyección MSSQL basada en error donde, bueno, los parámetros podían ser manipulados en orden de que se volvieran error mostrando información, por ejemplo, de un password, de un nombre de usuario, de la valoración de la base de datos, del servidor.

Miguel: Bien, y ¿cuánto tardaste en descubrir la vulnerabilidad?

Chris: Y, aproximadamente una hora y media.

Miguel: En una hora y media entraste en la página web. Bueno.

Chris: Exactamente. O sea, se encontró un error. En ningún momento se hizo ningún daño ni se ganó acceso remoto, y a continuación de eso, en la próxima media hora yo avisé, justamente a Amy, como había mencionado.

Miguel: Sí, sí, sí. Pero en ningún caso bajaste la información o se la diste a alguien, o sea los passwords de esta gente permanecieron intactos y no se los diste a nadie, ¿no?

Chris: Así es. No, es que no se los dí, pero tampoco los tengo. O sea, no, justamente algo que Markus Frind insistía con que nosotros habíamos realizado ataques, o que nosotros estábamos extorsionándolo. Nosotros simplemente nos comunicamos con las mejores intenciones, para notificar un error, pero, naturalmente, al mostrarle que el sitio estaba vulnerable, yo creo que él entró en cierto miedo o cierta desconfianza acerca de quiénes éramos nosotros, o qué queríamos.

Miguel: Claro, pues estaría muy sorprendido que de repente una página web tan grande tuviera una vulnerabilidad tan grande. Entonces vamos a la parte ya del blog post que escribió él ayer a la noche, justo después de media noche noté yo en mi reader que había escrito un post que se llamaba ¿cómo se llamaba? Se llamaba Plenty of Fish Hacked, y yo digo, no me jodas, ¿cómo puede hacer esto? Porque yo llevo siguiendo su blog muchos años, y escribe muy de vez en cuando, igual una vez cada mes, incluso menos, y de repente escribe esto y digo no puede ser. Y empiezo a leer y parece como una película de miedo. Entonces, me gustaría ir un poco por poco por varias de las acusaciones que hace, y cuál es tu respuesta a cada una, porque hace cosas – escribe cosas muy puntuales que parecen muy extrañas, y me gustaría oír tu opinión, porque sólo hemos oído su opinión hasta ahora, y estaría bien saber qué piensas tú al respecto. Entonces, primero dice que el ataque fue increíblemente planeado y sofisticado. ¿Qué dices tú de eso?

Chris: Bueno, para empezar no fue un ataque. Fue sencillamente un reporte de una vulnerabilidad. Ay que saber distinguir, yo creo, entre lo que es hacking ético o algo hecho con malas intenciones de algo hecho con malas intenciones. En líneas generales, con respecto a las acusaciones, si nosotros hubiéramos tenido en algún momento malas intenciones, teniendo acceso a la cantidad de información que podríamos – o sea, a los cuales teníamos acceso, que no accedimos, quiero dejar en claro, pero a las cuales teníamos acceso, el ataque podría haber sido – o sea, ¿qué beneficio tengo yo, si hubiera sido un atacante con malas intenciones, el reportar a él o comunicarme con él para notificar un error? Donde el error fue.

Miguel: Exactamente. Y por qué darías tu nombre, y etcétera, etcétera. Bien, entonces.

Miguel: Lo siguiente que dice es que tardaste dos días en conseguir entrar, tú dices que es una hora y media, o sea que obviamente no tiene la información correcta. La otra cosa dice que.

Chris: Lo tengo grabado, de hecho, Miguel. Más de una hora y media es un ataque que cualquier persona lo podría realizar en menos de dos minutos, o un minuto y medio. No es – no tiene un nivel.

Miguel: No es tan complicado.

Chris: Claro, no fue un ataque complejo, si no, como toda aplicación web, muchas veces, al hacer una página con tanto cantidad de contenido, con tanta cantidad de features, de opciones, de características, siempre queda algún campo al descubierto, y esos campos permiten y exponen información de un montón de personas. Por eso, bueno, es un ataque, dentro de todos sencillo. Por ahí el mayor – la mayor complejidad se daba en que la inyección, a diferencia de lo que hacen la mayoría de atacantes, en vez de estar en get, estaba en post, pero ni siquiera fue algo que hubo que trabajar a nivel de las cookies, o bien, no fue nada extremadamente complicado ni sofisticado, y el tiempo no fue ese, sinceramente, o sea, nosotros encontramos el error, y lo primero que hice personalmente, bueno, fue hablar con mis asociados, con mis colaboradores, con mis compañeros de trabajo, y reportarlo con la primera persona que lo pudimos reportar, que en este caso fue Amy.

Miguel: Perfecto. Entonces luego viene a decir, gracias por responder eso, viene a decir que llamaste a su mujer y que le dijiste que unos rusos habían tomado control de tu computador, y que estaban intentando matarte, y que tu vida estaba en extremo peligro porque estaban bajando la base de datos de Plenty of Fish. Esto es traducción literal de lo que escribió ayer a la noche. ¿Qué dices tú?

Chris: Es completamente ridículo. Yo me comuniqué con él porque en un principio una persona que bien, nos informa de ciertas situaciones, nos dijo que había gente buscando este tipo de cosas. Nos dijo que había gente realizando posibles ataques sobre Plenty of Fish, fue entonces que le pedí a este informante si podía, en todo caso, ver qué era lo que estaba sucediendo, o hacer que utilicen un servidor que él pudiera acceder para ver si esta información era verídica. Y bueno, así fue que yo le comenté a Amy, justamente, que había gente de Rusia intentando realizar ataques, pero bueno, todo lo otro es paranoia, exageración, o bueno.

Miguel: O sea, eso de que te estaban amenazando.

Chris: Puramente.

Miguel: De muerte y, o sea, es exageración.

Chris: No hubo en ningún momento – no hubo en este caso, no hubo en ningún momento ninguna amenaza de muerte, lo que sí sinceramente, sentí cierto miedo al – digamos, si alguien estaba haciendo una cosa y yo reportarlo, o bien, ponerme a revisar la seguridad el sitio y reportar cualquier error que encontrase, sentí, naturalmente, cierto miedo de que pudiera pasar algo. Pero en ningún momento hubo una amenaza de muerte ni nada de todo eso. Eso es.

Miguel: Bien, vale, perfecto. Y luego menciona que te pusiste en contacto con un tal Brian Krebs, que era un ex-reportante del Washington Post, ¿es eso cierto también, o no?

Chris: Completamente, sí, eso es cierto. En el momento que yo le reporto a Amy, como te mencioné, habíamos documentado un video, y le dije, mirá, Amy, sinceramente no sé qué medidas va a tomar. Te pido por favor, si podes hacer esto publico para prevenir cualquier incidente que pueda tomar lugar.

Miguel: Eso es porque en esos momentos no podías conectarte con Markus Frind, porque estaba de viaje ¿no?

Chris: Exactamente.

Miguel: Y por qué fuiste [inaudible].

Chris: No tenía información si.

Miguel: [Inaudible] por qué.

Chris: Bueno, Brian Krebs, Brian Krebs anteriormente nos había hecho una interview, relacionada con los acontecimientos en The Pirate Bay. Y bueno, le avisé a él acerca de la vulnerabilidad, él creó un usuario, es el procedimiento natural y sistemático que se hace para verificar si hay una vulnerabilidad en in sitio, para verificar que la información sea cierta. Brian Krebs lo que hizo fue crear un usuario, y me pidió y me dio autorización para utilizar la vulnerabilidad en orden de obtener la información del usuario, para verificar que el error realmente estuviera ahí, y poder ponerse él en contacto también con Markus Frind.

Miguel: Entonces fuiste a través de él de una manera indirecta de llegar a Markus Frind debido al alcance que tiene Brian Krebs con su conexión, o con su blog o lo que fuera ¿no?

Chris: No realmente, más que nada por un tema de documentar y para poder proteger la integridad del sitio, más que nada por medio de un periodista, que me parece una forma prudente, si un periodista, bueno, como ahora lo estamos haciendo, una forma de informar a la gente que el error estaba ahí, que el error estaba presente.

Miguel: Para que lo supieran cuanto antes. Entonces fuiste como una especie de persona que pudiera decir esto a más gente, sí, vale, perfecto.

Chris: Sí, un advisor, naturalmente, como se hace siempre en esto, o sea, de golpe un hacker ético encuentra un error en una aplicación, y estos errores son cubiertos por la prensa en el área de seguridad informática. Nada del otro mundo, ni nada – lejos de las acusaciones, porque es algo que el mismo él dijo que lo habíamos utilizado, que Brian Krebs trabajaba con nosotros. Fue simplemente un error que encontramos, que lo avisamos a la compañía, bueno, en este caso a Amy, que se puso en contacto con personal de Plenty of Fish. Y bueno, Brian Krebs lo notifiqué de por medio – disculpame un segundo Miguel, me enciendo un cigarrillo.

Miguel: Ah sí, sin problemas.

Chris: Sencillamente lo notificamos como para dar un presente y una constancia de que el error estaba, de que era cierto, y que había que tomar medida al respecto de eso, porque si no, la base de datos estaba expuesta, naturalmente. Pero en ningún momento con malas intenciones, en ningún momento quisimos o tuvimos – no sé de qué forma pudo haber Markus interpretado una posible extorsión. Yo tengo las copias de los mails que de hecho no tendría ningún problema en presentarlos o, bueno, obviamente con la autorización de Markus porque son conversaciones privadas que hemos tenido, pero tenemos todo eso de respaldo. Las conversaciones telefónicas también que se pueden pedir. En ningún momento hubo malas intenciones, ni necesidad de llevar esto al extremo que lo llevó, mezclando – como que – yo creo que en algún momento él confundió todos los roles, o tuvo un golpe fuerte de estrés, y se le dio por publicar esto.

Miguel: Sí, porque lo que dice es extremadamente – de hecho me estoy dando cuenta que en su blog, la mayoría de la gente que está comentando le está criticando porque no tiene – no prueba o no tiene ningún fundamento de las cosas que dice pero – y luego también dice, por ejemplo, cosas como que tenían acceso – los rusos tenían acceso a las cuentas de banco, y que iban a robar 30 millones de dólares, de un montón de – eso también es inventado, ¿no?

Chris: No es inventado, es una exageración. No creo que haya inventado absolutamente nada. Creo que se equivocó, sí, al determinar ciertos números y al decir ciertas cosas.

Miguel: Ah bien, bien bien.

Chris: Y a hacer falsas acusaciones, al respecto de nosotros. Markus Frind en un momento me pregunta cuál creo yo que puede ser el alcance del ataque, y le dije, bueno, que la base de datos entera estaba expuesto, incluyendo contraseñas que podrían ser – o sea, naturalmente, los usuarios pueden poner – un segundo por favor.

Miguel: Sí, sí.

Chris: Naturalmente los usuarios pueden poner, y se ha dado en estos casos haciendo penetration testing para compañías donde los usuarios usan los mismos passwords, a lo cual mucha gente deja expuesta de esta forma sus cuentas de Paypal, sus cuentas de e-banking, o ciertas cosas, entonces le dije, bueno, al preguntarme cuál es el scope, cuál es el alcance de esto, le dije mirá, acá puede pasar cualquier cosa, porque es una inyección SQL que permitiría extraer información de 30 millones de personas, el scope, honestamente es difícil de calcular. Lo que sí te puedo decir es que si se corrige a tiempo, no debería haber ningún inconveniente. Y en base a eso yo creo que él buscó de alguna forma proteger su imagen, o bueno, que escribió esto como para librarse de cualquier acusación, o malinterpretó las cosas de tal forma de poder escribir un documento donde nos dejó a nosotros como si lo estuviéramos apretando, extorsionando, donde lo único que hicimos fue, como mencioné anteriormente, notificarlo acerca de una vulnerabilidad.

Miguel: Okey, ya, o sea, yo creo que vio que de repente su página estaba en peligro, y probablemente se le dio un poco – le dio el pánico y [inaudible] una manera exagerada.

Chris: Fue algo que.

Miguel: Sí, okey, entonces en ningún momento porque, claro, lo primero que la gente piensa cuando alguien le hackea la página web es cuando secuestra a una persona, que quieren algo a cambio. Entonces en ningún momento le dijiste a Mark Frind, a le dijiste “si quieres que te arreglemos esto, nos tienes que dar X dinero” o – porque luego él dice que le pediste $15 000 para poder trabajar con él. Podrías explican un poco por qué.

Chris: No, eso directamente no sucedió. Por eso, justamente.

Miguel: [Inaudible].

Chris: Cuando me preguntabas, en ningún momento, y no sólo eso, sino que no tengo ningún problema en presentar conversaciones telefónicas, o lo que sea necesario. Lo que sí sucedió, bueno, en realidad lo que te comentaba anteriormente, puede dar lugar ya que bueno, él tenía un montón de sugestión, y de miedo encima, y que mi inglés quizás no sea perfecto, dé lugar a malas interpretaciones de las cosas, por eso justamente insistí en hacer esto o vía escrito por inglés o en.

Miguel: O en castellano.

Chris: Claro, hablado pero en castellano, donde sí no se va dar lugar a malas interpretaciones. Porque justamente es lo que no queremos que vuelva a suceder. Nosotros, lo que le dijimos fue – él nos dijo, bueno, ¿qué es lo que su compañía nos puede ofrecer? ¿qué es lo que pueden hacer para proteger de esto? Y bueno, ahí sí fue que nos hizo una propuesta, una business proposal, donde nosotros le dijimos, sí, que teníamos que armar un documento, que ver de qué forma se podía encarar, pero ya no hablando de una – o sea, referido a hacer un análisis un [inaudible] testing sobre su sitio web completo, verificar que no hubiera errores. Yo creo que Markus Frind cree actualmente, que nosotros tenemos algún tipo de información, o pensó, por lo menos en ese momento, que nosotros teníamos algo que no tenemos, y no sólo eso, más allá de mi palabra, el error está documentado y por cada petición tardaba de responder de dos segundos y medio a tres segundos. Y si vos agarrás la calculadora, la calculadora de Windows, sin ir más lejos, y multiplicás el tiempo por la cantidad de usuarios que él cree que alguien le extrajo, bueno, eso va a ser cuestión de revisar los logs. Extraer esa información toma un tiempo mayor a los tres años. Es algo ridículo que alguien lo pueda hacer en una semana por la cantidad de datos que estamos hablando. O sea, no da, matemáticamente el tiempo, a lo cual yo creo que eso descarta cualquier [inaudible].

Miguel: Okey déjame explicar esto en mis propias palabras. Tú descubriste la vulnerabilidad que potencialmente, si se explotara durante tres años, podrías bajar toda la base de datos, pero que desde el momento que se lo dijiste hasta que lo arreglaron pasarían ¿qué?

Chris: 30 minutos.

Miguel: 30 minutos, entonces lo más.

Chris: 30 minutos a una hora. Hasta que lo arreglaron no, desde que lo encontré hasta que yo me comuniqué con Amy pasaron 30 minutos. Y yo creo que desde que Amy fue notificada hasta que los cambios se realizaron en el sitio no pasaron más que un par de horas. A lo cual ni yo ni ningún otro – ni ningún hacker con malas intenciones habría tenido la chance. Eso puedes revisar los logs de realizar un ataque de esta magnitud.

Miguel: O sea que – pues claro, es el mayor miedo que tiene la gente, y una de las cosas que está afectando muy negativamente a Markus Frind es que mucha gente piensa que ha habido la posibilidad de que millones de usuarios, sus passwords estén perdidas por la internet. Pero lo que estás diciendo es que de tal manera, de cómo funcionaba el ataque, que eso habría sido imposible porque incluso, si hubiera sido, digamos incluso in día entero, estaríamos hablando de, yo qué sé, mil o dos mil usuarios en vez de millones, que es una diferencia, o sea, totalmente muy grande ¿no?

Chris: Técnicamente sí, es completamente – o sea, se aproxima a lo ridículo directamente, por así decirlo. No hoy forma, o no – un atacante no hubiera tenido la posibilidad de extraer esa información. Ahora bien, yo lo que hice fue notificar para prevenir que esto sucediera, y eso lo quiero dejar en claro. Si nosotros hubiéramos tenido malas intenciones, sí, naturalmente alguien hubiera dejado corriendo eso de forma silenciosa, y hubiera descargado la información. Y nosotros, en consecuencia de avisar, obtuvimos acusaciones falsas, exageraciones, y bueno, nos tuvimos que comer todas las cosas – con comer no sé si es un argentinismo, pero bueno, nos tuvimos que escuchar o leer todas las acusaciones que nos realizó de malas prácticas, de extorsión, de un montón de cosas que no, mirá, si yo fuera esa persona, no estaría ahora hablando de forma pública, con la prensa registrada. La gente, como le dije a él telefónicamente, la gente que lo va a atacar no lo va a llamar por teléfono, no va a usar su dirección de IP, no va a crear un nombre de usuario como yo lo hice, poniendo CH Russo, como yo lo hice, que es el nombre con el cual me manejo como nickname, o sea, que era totalmente identificable lo que yo hice desde mi conexión para documentar un proof of concept del ataque, que es un video mostrando dónde estaba la vulnerabilidad que fue lo que le informamos justamente a Amy.

Miguel: Entonces dos preguntas: una es, yo no sé como funciona tu tipo de empresa, pero ¿es normal ir buscando vulnerabilidades en páginas grandes y luego comunicarles a los dueños? Y ¿esa es una manera con la cual uno puede conseguir nuevos clientes?

Chris: No, en lo absoluto, esto no es un tema de propaganda o de publicidad. Mi empresa más que nada funciona por medio de contratos donde se hacen concursos, donde se – no, no es una forma de hacer marketing ni mucho menos. O sea, sencillamente, si nosotros encontramos una vulnerabilidad que expone a 30 millones de ciudadanos de United Kingdom, de Canada y de United States, lo vamos a reportar porque es algo ético y creemos que es lo que corresponde.

Miguel: Sí entonces una de las cosas que hacéis como práctica es simplemente ir a diferentes páginas web y luego si encontráis algo, simplemente es notificarlo sin ánimo de lucro, y con la – simplemente la intención ética de dar a conocer esa vulnerabilidad para poder evitar o – ¿cómo se dice?

Chris: Prevenir.

Miguel: Prevenir posibles ataque en el futuro. O sea que desde tu punto de vista, tú descubriste esto como un – simplemente porque – ¿cuál fue la motivación de ir a Plenty of Fish y no otra página web por ejemplo.

Chris: Eso te iba a corregir justamente lo que estabas mencionando. Nosotros tuvimos información de que había gente realizando posibles ataques, entonces.

Miguel: Ah, de ahí fue la motivación.

Chris: Ahí es donde entra todo lo que él comentó y bueno, como te dije, son influenciadas, supongo que más que nada por el miedo, ya que bueno, su empresa depende de sus usuarios, y creo que, bueno, sí debería de cuidar un poco más, o tomar más medidas preventivas a no exponerse así, y menos que menos acusar a alguien que lo llama con buenas intenciones. Yo fui notificado de esto e hice un penetration test básico, legal, y ético, y al momento de verificar que la información era correcta, de que había un error real de seguridad, nos comunicamos con él y le dijimos dónde estaba el error, cómo era el error. Con él no, con Amy, le dijimos los detalles técnicos, claros y concisos para solucionar este inconveniente.

Miguel: Bien, perfecto. Y ¿dices que la empresa?

Chris: [Inaudible] que tampoco andábamos navegando y probando vulnerabilidades de forma aleatoria, pero sí, si nos encontramos con una empresa donde realmente hay una vulnerabilidad y yo tengo la posibilidad de ayudar y notificar acerca de este error, es algo que tenemos que hacer con – por más que nada un tema de nuestra profesión, o sea, si yo no lo notifico estoy, de alguna forma, siendo cómplice de un ataque, o de algo que podría haber sucedido. Está en mi labor profesional.

Miguel: Sí, has descubierto que hay un – puede haber un problema que puede ser muy grave y estaría bajo tu conciencia el no reportarlo de alguna manera. Eso tiene sentido. Entonces dices que tu empresa es una empresa legítima en Buenos Aires, Argentina. Hay una – tenéis una página web, ¿cuál es el nombre de la empresa? Porque la gente se va a preguntar si es verdad, tiene que haber una manera de ver que esta gente existe. Tenéis – ¿cuál es el nombre de vuestra empresa?

Chris: La empresa se llama In Silence, nosotros tenemos, sí, una página web que en estos momentos estamos transfiriendo el nombre del dominio, de un dominio al otro. Va a estar en línea ahora en breve en insilence.com. Insilence.com. En este momento estamos haciendo, justamente, la compra de este dominio porque, bueno, hubo un incidente con el nombre del dominio anterior, así que ahora estamos moviendo todo, y justo surgió esto en paralelo. Pero bueno, somos una empresa que estamos trabajando acá, tenemos profesionales. No es algo que nosotros hayamos tenido intenciones de extorsionar ni mucho menos, en ningún momento.

Miguel: Entonces no ha sido sólo – porque claro, se ve la, las noticias lo tienden todo a sensacionalizar. La idea que tiene el mundo ahora es que un hacker sólo, de 23 años, consiguió entrar a una de las paginas más grandes del mundo. Lo que no saben es que detrás de esa persona hay una empresa legítima que se dedica a hacer esto como profesión, el buscar vulnerabilidades y el reportarlas, si las encuentra. ¿Es eso cierto?

Chris: Correcto sí, o sea, nosotros nos dedicamos más que nada a hacer trabajos para otras empresas, a hacer penetration testing bajo contratos, y a hacer primero un contrato, y después realizar el penetration testing, pero en este caso, si encontramos una vulnerabilidad bajo ataque o bajo posible ataque, donde había tanta cantidad de usuarios expuestos, lo correspondiente era hacer una notificación de lo que estaba sucediendo, o de lo que podía.

Miguel: Inmediatamente.

Chris: Claro. Exactamente.

Miguel: Muy bien. ¿Has tenido la oportunidad de hablar con Markus directamente? Sí, me has dicho que sí, que al final sí hablaste con él directamente.

Chris: Hablamos – eso fue una de las cosas que más nos llamó la atención, porque en el momento que él menciona acerca de precios, o de dinero, o de posibles extorsiones, cosas por el estilo – nosotros lo que hicimos fue recibir una propuesta de negocios por parte de Markus Frind. De hecho hablamos con Markus, hablamos con una chica que se llama Kate, y con un muchacho que se llama Joey, o Joe, si mal no recuerdo, que bueno, lo que nos pidieron fue currículums vitae e información acerca de nosotros, información acerca de la empresa, y una business proposal que de hecho nos tomamos el trabajo de armar para el lunes donde, bueno, le habíamos propuesto hacer una análisis extensivo del sitio, verificar que las cosas estuvieran en orden, verificar las versiones del software siendo utilizado.

Miguel: O sea, él os propuso – después de que le llamaste la atención de la vulnerabilidad, él dijo, mira pues, como habéis descubierto eso, me podías hacer un proposal de mirarme la página entera para saber si hay más vulnerabilidades. O sea que él fue el que os ofreció la oportunidad de hacer esto como un trabajo, ¿no?

Chris: Exactamente, sí. Eso fue lo que sucedió. Ahora, aparentemente Markus realiza esto para obtener más información acerca de nosotros y publicarnos como atacantes. O sea, yo la verdad que no entiendo, y él lo que hizo.

Miguel: Cuánto tiempo pasó desde la última vez que hablaste hasta que él de repente parece que cambia de opinión y le entra el pánico y empieza a decir cosas que no parecen tener.

Chris: Fue muy raro. El mail que justamente estaba enviando es un mail donde, bueno, ahora te lo voy a enviar si quieres, [inaudible] ver que es un mail donde Kate me está diciendo si va a estar todo el documento de negocios para el día lunes, o sea, hoy. Nosotros habíamos armado todos los currículums, la gente que trabaja con nosotros son todos estudiantes o gente recibida en ingeniería en sistemas, en la UADE, gente con – tenemos un estudio de abogados compuesto por 18 profesionales, trabajamos de una manera profesional y bueno, le entregamos los currículums vitae para que él se quede tranquilo, y de un momento para el otro yo recibí un mail, a ver si lo puedo encontrar en este momento, donde él encuentra, y eso me parece que fue el desencadenante de todo este malentendido, donde él encuentra un link en freelancer.com, y voy a – es bastante largo para decir esto en voz alta, pero te lo digo si vos después lo querés escribir o algo, es.

Miguel: Sí no, dímelo dímelo porque es – queda grabado entonces lo puedo escribir luego.

Chris: Sin ningún problema. Él me manda un mail donde empieza el mail con una URL. No dice hola, no dice nada. Hasta este momento, nosotros estábamos en excelentes términos hablando de algún business proposal que fue lo que ellos mencionaron, o sea, nosotros más que reportar la vulnerabilidad y ver de qué forma podíamos prevenir o actuar lo antes posible para que no hubieran inconvenientes, que en ningún momento reitero, hubo malas intenciones ni ningún ánimo de extorsión ni mucho menos. Eso fue todo – o quizás malentendido por – o quizás influenciado sí, por el miedo y la magnitud de la vulnerabilidad. El mail que recibí de un momento para el otro, donde estaba todo en excelentes términos, y él de golpe me acusa, voy a decirlo en español, lo voy a traducir, primero tengo un link que es http://www.freelancer.com/projects/zeesales_929663.html?utm_source=web&utm_medium=twitter. Este link muestra, este link, si nosotros entramos, voy a entrar un segundo.

Miguel: Sí, voy a entrar también.

Chris: Si quieres a ver si te puedo pasar el link, por acá por Skype, así lo podes ver.

Miguel: No, estoy ahí

Chris: Ah ya estabas. No sé si puedes ver que dice, es un artículo o una publicación en ese sitio web que se encarga de hacer transacciones entre feelancers. Dice: need to get user data from Plenty of Fish from POF. [inaudible] description. Need to get user data from Plenty of Fish, information, preferably in CBS format. Please let me know if there's anything specific that you need to get your [inaudible] y después hace un listado de la información que está interesado en conseguir de los usuarios. Yo creo que esto fue el desencadenante del miedo de Markus Frind, que lo llevó a hacer esta publicación que hizo.

Miguel: Ah, y ¿quién hizo esa publicación, porque? Ah, está hecha desde.

Chris: Esa publicación es – la verdad que la vi cuando él me mandó el mail, o sea, yo ni siquiera no – estoy registrado en esta página casualmente hace un montón de años, pero no la uso, ya tengo mi propio negocio, mis clientes, o sea, nosotros nos encontramos con este link y bueno, doy por entendido o interpreto yo que él ve este link y en ese momento le surge un cierto miedo o paranoia de que nosotros comercialicemos información que no teníamos

Miguel: Ah veo que este trabajo está mandado a hacer desde India, desde la ciudad de Moratabad. O sea que es totalmente no relacionado con vosotros, claro. Pero [inaudible].

Chris: Claro, yo no tengo ninguna.

Miguel: Lo debió de encontrar buscando en Google alguna palabra de estas, relacionadas con buscar información en Plenty of Fish, y la encontró, y de ahí es donde ya pensó que todo lo que estabais haciendo era para vender esa información a través de – de alguna manera. Ya veo cuál es el problema.

Chris: Después, a continuación de eso, y ahí fue cuando yo me comuniqué con mis abogados también fue que hizo una amenaza bastante seria. Me pone si esta información – ¿te lo leo en inglés, si te parece bien?

Miguel: Sí.

Chris: If this data goes public, I'm going to mail every single affected user of Plenty of Fish your phone number, email address and picture. Bueno, acá hay un punto. Me gustaría hacer una aclaración. No tengo la información, y si él llegara a enviar mi phone number, email address y my picture a los usuarios de Plenty of Fish, por cualquier incidente que tenga, por tener la página en malas condiciones y que nosotros le estemos reportando, nos acuse públicamente de cosas que no hicimos, vamos a ir a acciones legales, no tengo ningún problema en eso, y me está acusando de cosas que no tenemos, y me está amenazando. A lo cual creo que él tuvo un cierto miedo, una paranoia, que lo llevó a hacer esto. Es natural también, o sea, este mail te lo voy a reenviar. Después continúa diciendo: then I'm going to sue you in Canada – desconozco esta palabra, sinceramente. S U E.

Miguel: S U E es demandar, es lo mismo que le vas a hacer tú si hiciera esto, o sea, él te está amenazando de demandarte en Canadá.

Chris: Bueno ahí empieza then I'm going to sue you in Canada, United States and United Kingdom and Argentina. Then I'm going to completely destroy your life. No one is ever going to hire you again for anything. This is not the Pirate Bay, and we definitely aren't fooling around. Firma Markus Frind. Cuando yo leí I'm going to completely destroy your life, sinceramente me dio miedo porque pensé en la posibilidad de que estuviera alterado, pensé en la posibilidad de que tuviera gente acá o actuara en una forma inapropiada, que fue cuando empecé a hablar con mis abogados, y sí empecé a mandar mails también a la gente de la prensa porque se había ido la situación de las manos por algo que él encontró en feelancers.com, en freelancer.com que naturalmente le metió cierto miedo.

Miguel: Lo que – obviamente parece que definitivamente cuando descubrió ese link, cambió de actitud completamente. No os dio la oportunidad de decir, de explicar que no teníais nada que ver con ello, o no se escuchó, o no se lo creyó, simplemente asumió que erais vosotros porque, es como una reacción tan dramática – ¿por qué, si todo estaba yendo bien, no os dio la oportunidad de escuchar vuestra versión de la historia?

Chris: De hecho le respondí con – yo creo que lo que vos publicaste en tu sitio es una copia de este mail.

Miguel: Sí, sí, exactamente.

Chris: Hay una copia de este mail por lo menos, donde yo le contesté – o sea, estábamos hablando de los documentos, estábamos hablando de una verificación des seguridad, en buenos términos, y de golpe surge esto que, de ser sincero, yo estaba almorzando – perdón, cenando con mi novia, volví y nos encontramos con esto: con una amenaza por email, diciendo que me iba a demandar en Canadá, Estados Unidos, Inglaterra, Argentina, por sacar información que nosotros no tenemos, y eso está en los logs del servidor de él, y bueno, si quieren, no sé, podrían revisar mis equipos. Todo lo que se hizo fue crear un usuario para reportar un error y mostrar un error que también, bueno, lo verificó Brian Krebs, que está al tanto, y supongo que va a escribir acerca de esto. Pero no, completamente alterado y cambiando los roles de un momento para el otro. Yo le contesté con buenos modales diciendo que entendía si él tenía miedo, o algo, pero que nosotros éramos una compañía legítima que ofrecíamos servicios acá. De hecho me ofrecí, lo llamé por teléfono, me pidió él que por favor llamara a Amy, llamé a Amy y hablé con él, estaba muy pero muy nervioso, me mencionó una – bueno, no sé si esto corresponde, creo que esto no corresponde decirlo por un respeto a él y a Amy, pero bueno, hizo nuevamente una amenaza, estaba realmente – mencionó temas bastante fuertes. Me asusté, honestamente, tuve un pequeño ataque de pánico. Sufro de ataques de pánico. Me asusté, de vuelta me comuniqué con mi abogado, y bueno, ahí fue cuando después de esto encima – amenazó varias veces y después publicó todo esto, poniéndonos a nosotros en una postura – o sea, creo que es algo ridículo, sinceramente, porque lo único que hicimos, en primera instancia fue reportar que había un error de seguridad, y cuando él dijo cuál es el alcance de esto, yo le mencioné que el alcance podía ser extremo y que había que tomar medidas. Pero en ningún momento hubo intereses económicos, si quiera, él mismo preguntó si nosotros ofrecíamos servicios o algo, y empezó a recolectar información nuestra, a dañar la imagen de – mía y especialmente la de Luca, que es una persona que trabaja conmigo en el área comercial. Y a poner todas estas acusaciones y exageraciones, y como que hizo todo un compilado de todo lo que se habló, pero como si fuera una ensalada rusa. La información está fuera de contexto, la información no está en orden. Realmente no sé, me parece algo muy desprolijo y de una manera de actuar que denota que bueno, naturalmente cierto nerviosismo, o paranoia, o miedos. Entendibles, por el volumen de la información que estaba en riesgo.

Miguel: Claro, estamos hablando de que él es el dueño de una de las páginas web con más éxito en el mundo, y se ve, de repente amenazado de la posibilidad de perder un imperio, casi, ¿no? Pero el problema es que ahí no tuvo la sangre fría de pensarlo con un poco de más tranquilidad, y parece que escribió antes de pensar, entonces.

Chris: Es muy cierto, si nosotros de hecho.

Miguel: [Inaudible] parece que él dijo que iba a hacer un comunicado más serio, y no sé si lo ha hecho, pero todo el mundo está esperando a que diga algo con un poco más de sentido, porque, incluso, si ves los comentarios de su post, el 99% son gente que usa su página web, o gente que le conoce o que ha oído hablar de él, y no le dan la razón en absoluto por la manera en que lo comunicó. O sea que él mismo, al hacer este tipo de comunicados, se ha – no sé cómo se dice, en inglés se dice shoot in the foot. Se ha fastidiado a él mismo. O sea.

Chris: La verdad más que fastidiado a él mismo, a nosotros nos dañó mucho la imagen.

Miguel: Y a vosotros también

Chris: Me causó problemas, perdimos muchísimo tiempo en emails, reportando, así que sinceramente no sé si esto se va a volver a dar. Es un escenario muy parecido cuando hicimos un reporte de una vulnerabilidad en The Pirate Bay que si tenés la posibilidad, me dijiste que eras de España, bueno esto fue cubierto por el mundo, ahora si te puedo mandar un link, me hizo una entrevista un periodista, Miguel Criado.

Miguel: ¿Ah sí? Miguel Criado.

Chris: Quiero ver si te lo puedo – dame un segundo. Donde nosotros hicimos una entrevista con él y él dejó muy claro lo que se hizo, que fue sencillamente avisar de un error. Pero bueno, cuando el sitio web es grande y se le avisa de un error, y al no tener a nadie, o sea, la única persona que – sobre puede descarrilar todo su estrés o cargar todo su estrés es sobre nosotros, que lo único que hicimos fue, naturalmente, avisarle de este inconveniente, y con buena fe, con buenas intenciones, sobre todo, y para prevenir que esto sucediera, no para obtener beneficio económico. Yo realmente, gracias al esfuerzo en equipo que hacemos acá, nos va, dentro de todo bien en nivel económico, o sea, no tengo necesidad de estar haciendo extorsiones ni exponiéndome a tener problemas legales. Y si hubiera tenido intenciones de hacer algo, yo creo que un hacker no hubiera entrado en extorsión, o hubiera dado la cara, si no que hubiera robado la información y comercializado la información.

Miguel: Sí, no has hecho eso en absoluto.

Chris: Los precios del mercado son mucho más de lo que se puede sacar por un [inaudible] testing. Un sitio web como Plenty of Fish, comprometido, al ser comercializado, yo te digo, por la gente que tengo, por gente que tengo informantes, y al igual que tienen los periodistas, estamos en contacto con lo que son los mercados negros para obtener información de ataques, para obtener información sobre nuevas técnicas, estamos ciertamente vinculados, y leemos para estar al tanto de qué es lo que pasa en la seguridad de ambos lados, qué es lo que tiene que hacer un profesional, o un periodista, o cualquier persona que trabaja en seguridad informática. Nosotros tenemos que saber cómo atacan, qué es lo que hacen, y qué es lo que está sucediendo. Y bueno, así fue lo que pasó, o sea, nosotros sabemos – una base de datos como la de Plenty of Fish se hubiera, o la hubieran comercializado por encima de los cuatro o cinco millones de dólares, ¿qué sentido tendría ponerme en contacto con él? Y en el peor de los casos, hacer un acuerdo por el precio de un pen testing que pueden ser 15 mil o 20 mil dólares. Es ridículo, o sea no, no dan – matemáticamente no dan los números, como te decía. Lo mismo se repite en el caso de la extracción de la información, en el tiempo que transcurrió entre el grabado de la vulnerabilidad, de la documentación, de la vulnerabilidad, y que ellos fueron informados fueron minutos, y luego horas a que fue corregida. O sea, es imposible que alguien tenga esa información. Los usuarios se pueden quedar tranquilos por eso. Pero bueno, mucha imprudencia en el momento de tener un sitio tan grande sin verificar, y bueno, después actuó de una forma – o sea, se la agarró con nosotros, o descargó su enojo con nosotros, acusándonos de cosas que, bueno, no eran en ningún momento nuestras intenciones.

Miguel: Sí, muy bien, yo creo que ha quedado bastante claro y me alegro de poder oír tu versión de los hechos, porque hasta ahora la mayoría del – supongo que esto cambiará una vez que ya la gente empiece a saber más la historia. Pero la gente sólo sabe una historia, no se cree ninguna, obviamente, pero esto es constancia de, además del hecho de que lo estás diciendo porque – aquí a mí lo que me extraña es que una persona con tanta influencia en la Internet no haya salido ya y esté hablando con la gente diciendo. Igual debe estar – si no sale es porque – o no lo entiendo, porque está – tiene vergüenza de lo que ha hecho y dice ¿cómo voy a arreglar esto? Porque si no no tendría sentido. Si yo soy el CEO de una compañía, si estoy encargado, inmediatamente tengo que explicar por qué he hecho un comunicado tan fuerte. No puedes dejar eso en el aire y no explicarlo bien porque entonces estás perdiendo credibilidad, entonces esperemos a ver exactamente por qué – qué pasó, pero te agradezco mucho que nos hayas explicado con mucho detalle lo que ocurrió, y así, haciendo un recap, rápidamente, lo que pasó es que descubriste que había una vulnerabilidad, pudiste demostrar que existía, todo esta yendo bien, incluso él os dijo que os incluso contrataría para arreglar la vulnerabilidad, pero de repente descubre un link de una persona que está pidiendo información de usuarios y piensa que está relacionado con vosotros, lo cual le hace entrar en un pánico absoluto, deja de tener comunicación normal y escribe un post totalmente fuera de lugar, e cual acaba siendo un drama en la internet gigantesco que no tenía que haber sido así.

Chris: Exactamente. No sólo dañó su imagen si no que dañó la nuestra. Bueno, yo voy a, ya que estamos grabando me gustaría dejar esto grabado y bueno, cualquier usuario, invito, si son 10 millones, 20 millones, 30 millones de personas. La cantidad que fueran, de Canadá, a enviarme un mail, a pedir una información, que Markus Frind si quiere se comunique con nosotros, a hablar en buenos términos, a hablar de una forma humilde, a hablar desde la humildad más que nada, y desde los hechos puntuales, que en ningún momento hubo ningún tipo de extorsión, nosotros buscamos bien, tanto yo como Luca, hablarle de buena manera, publicó fotos de nosotros, púbico una foto de Luca con su perrito, paseando por.

Miguel: Ah es verdad, que intentó contactar con tu madre, o algo así, ¿no?

Chris: Mi madre y la madre de Luca. Mis padres – bueno mi madre está – no va a poder comunicarse con mi madre, y menos por email, y la madre de Luca es una persona de 70 años que tampoco utiliza la internet, a lo cual es completamente falso, y eso sí fue.

Miguel: O sea que fue como una medida completamente desesperada de intentar de hablar [inaudible].

Chris: No sé, no, yo, creo que eso sea, no hay ningún – no hay ninguna vinculación, no tiene sentido. Con mi madre no se va a poder comunicar, como te digo, con mi padre tampoco y con la madre de Luca no utiliza email, es gente grande que, que no – no existe, o sea, eso que dijo no existe, sencillamente publicó una foto de Luca en Los Ángeles paseando un caniche toy, creo, que sacó de Facebook. Nos expuso. Y bueno, los usuarios se pueden quedar tranquilos porque técnicamente hablando, y yo no puedo dar garantías porque es Markus Frind quien puede analizar realmente si bajaron la información de tantos millones, pero yo, técnicamente hablando podría garantizar de que no, de que el atacando no, o cualquier atacante que haya tenido acceso – porque como yo tuve acceso tuve la posibilidad de verlo, eso estaba ahí, y lo pudo haber visto cualquier otra persona, un mes antes, un mes después o hace un año, entonces lo que Markus Frind debería hacer es verificar que no haya habido posibles ataque de esa vulnerabilidad desde el tiempo que el script ese está funcionando el el sitio. Yo realmente lo único que hice fue reportar que había un error en ese script, en puntual, y bueno, desconozco si hubo ataques anteriores, lo que sé es que de acá en más no va a haber, no hay más riesgo. Pero eso es lo que Markus Frind debería aclarar. Lo invito a él a hablar, y si él me da la autorización yo no tengo ningún problema en publicar, de ser posible, las llamadas telefónicas, todos los mails que hubo con él. Nosotros fuimos completamente transparentes. En ningún momento le dijimos ningún precio, a lo cuál no sé cómo puede acusarnos de extorsión, porque nunca mencionamos un precio. Es completamente ridículo, las cosas que puso acerca de la clasificación de la empresa, sí es algo que le dije que nos diera tiempo si quería hacer un contrato con nosotros porque naturalmente tenemos otro tipo – acá nosotros tenemos [inaudible], tenemos impuestos por parte del gobierno, y para realizar operaciones con el exterior, que es algo que no hemos hecho antes, tendríamos que haber cambiado el tipo de facturación. Le pedí tiempo para armar un business plan para hacer estas cosas, y para encarar el asunto con seriedad, como realmente se lo merecía, pero bueno, parece que de golpe actuó de una forma impulsiva y hizo estas acusaciones. Mezcló toda la información y le dio un orden conveniente para él donde nos dejó – bueno, nos quiso, no sé si para proteger su imagen o para echarle la culpa a alguien del error. El error realmente, y la vulnerabilidad no la tienen – y acá apoyo sí a los hackers, no a los hackers que hacen algo con falta de ética, ni mucho menos, pero sí lo que me gustaría decir es que un hacker encuentra un error, pero el que comete el error y expone la información de usuarios es el programador, no el hacker. El hacker encuentra el error y, si tiene ética como nosotros la tuvimos, lo reporta y corrige para prevenir que estas cosas sucedan, o que se exponga la información de 30 millones de personas. Pero el error está en la programación, el error está en dejar un sitio tan grande con bajas medidas de seguridad, con los passwords sin encriptar, y eso te lo puedo decir porque estoy en todo mi derecho de verificar mi propio password, el cual no estaba encriptado.

Miguel: Sí de hecho era bien conocido desde hace mucho tiempo que Plenty of Fish guardaba los passwords en plaintext, no encriptado. De hecho, creo que cada cierto tiempo la página web te mandaba el password para que no se te olvidara, pero te lo mandaba en plaintext, o sea, sin codificar, lo cual.

Chris: Esto es algo.

Miguel: Mucha gente se queja que es un error muy básico, especialmente para una página web de semejante tamaño. O sea que ese.

Chris: Es ridículo, es algo ridículo, mínimamente – yo hoy por hoy, con la tecnología [inaudible] que existe, de estas máquinas que están entregando la gente de Nvidia, se puede hacer ingeniería reversiva sobre un [inaudible] o un MB5, algoritmos complejos, a lo cual hay que usar técnicas de encriptación importantes. La información por post tiene que ser verificada, la información enviada por [inaudible] tiene que ser verificada, para cualquier programador que escuche esto yo creo que – cualquier programador avanzado entiende que hay que revisar qué tipo de valor recibe la aplicación antes de enviarlo a la base de datos, y desconozco si hoy por hoy Plenty of Fish no tiene más fallas de seguridad, no queremos ni acercarnos al sitio, y mucho menos después de estas acusaciones y estas amenazas y esta prensa negativa que nos hizo Markus Frind, que bueno, entiendo el estrés de él y las circunstancias, pero me parece que no fue algo apropiado. Pero yo creo que sí sería necesario que alguna empresa se encargue de revisar la seguridad del sitio, porque en lo que se pudo ver, que un hacker pueda realizar un ataque, como te decía en menos de 3 minutos, y acceder a la información de 30 millones de personas.

Miguel: Sí no, lo que has hecho es exponer una vulnerabilidad muy grande, y obviamente por el bien de Plenty of Fish, van a hacer todo lo posible para eliminar ese tipo de problemas, o sea que al mismo tiempo está bien – o sea, es triste que se haya descubierto esa vulnerabilidad, más triste que la reacción haya sido tan escandalosa, pero igual, la única cosa positiva que se puede decir es que los 30 millones de usuarios o más que haya en Plenty of Fish puedan, esperemos que en el futuro, puedan saber que se van a tomar las medidas necesarias para evitar que esto vuelva a pasar jamás, porque seguro que Markus Frind no quiere pasar – no quiere que esto vuelva a ocurrir obviamente.

Chris: Seguramente que no. No, es exactamente eso, esos fueron los hechos, y como te digo, tengo mails, llamadas telefónicas y lo puedo, lo puedo verificar, que es algo, que yo creo que si a él se lo pides no lo va a poder mostrar porque realmente no fue así. Y te hablo con total humildad y sinceridad. Pero bueno, esperemos que estos escenarios no se repitan. Si Markus quiere comunicarse conmigo él tiene mi número. Yo no voy a realizar ningún llamado ni mucho menos. Si recibo algún tipo de autorización por parte de él publicaría los mails para que la gente vea lo que sucedió, y que estén tranquilos porque la información no la tenemos, y no creo, personalmente que nadie la tenga. Ni en ningún momento hubo intenciones de atacar a plentyoffish.com.

Miguel: Vale. Pues muchas gracias por tu tiempo Chris.

Chris: No hay por qué, Miguel, a vos por la entrevista, un placer hablar contigo.

Miguel: Espero que todo se resuelva de una manera positiva y que Plenty of Fish arregle sus problemas, y que tú puedas seguir con tu empresa haciendo lo que te gusta. Sin problemas.

Chris: Muchas gracias Miguel. Esperemos que así sea. Muy amable Miguel, gracias a ti también por tu tiempo.

Miguel: Vale, hasta luego.

Trascription by: www.gmrtranscription.com

Conclusions

Do hackers like Chris use this approach to obtain new business or reputation?
Chris insists that he never intended to sell private information but to do something he already had done before and it is typical of similar hackers, which is to find security vulnerabilities and report them to the website owners.

Chris swears that he never had any intention to profit from his discovery and that merely wanted yo do the right thing which was to alert the owner as soon as possible to avoid future attacks.

But what if he did it to generate some business?
I think he actually made a favor to Markus by pointing out a flaw in the system that could expose private information of about 30 million users. Markus engineers should have found that issue themselves but took a kid in South America to expose the site weakness. It would only make sense to hire the kid that showed the abilities to hack your system.

Did Chris threaten to release the accounts if he did not get hired?
Chris makes it clear on the interview that that would have made no sense for two reasons.
Although the exploit allowed him to potentially access the passwords for 30 million users, to actually get it it would take literally years as Chris was only able to retrieve a password about every 4 seconds (this can be seen in the video he recorded).
It turns out he (or someone else) managed to compromise about 345 user accounts.
That is far from millions and not enough bargaining power to force a giant site to surrender to his alleged hiring requests.

Get Our Top 10 Video Marketing Tips

Enter your email below to receive the exact strategies we've used to reach over 2,000,000 people with our videos without spending a single dollar in ads

Powered by ConvertKit
How to Create an Awesome Demo Video for Your Business

Learn How to Create an Awesome Demo Video The Grumo Way

Whether you are a do-it-yourself type of startup or a beginner wanting to learn how to produce great demo videos, our video training series will be perfect to help you produce outstanding explanatory videos.
Click Here to Learn more about this special offer.