martes, 18 de julio de 2017

Fin de mi "caso Uber"

Que menos que recopilar alguna información sobre como ha quedado finalmente el tema del crackeo de mi cuenta de Uber tras las ultimas actualizaciones.

Lo primero: comentar que el gran problema, al menos para mi, fué la falta de información. Si el sábado por la noche, cuando intenté contactar con ellos, me hubieran respondido por twitter con mensaje directo diciéndome «estamos trabajando en ellooou», probablemente nadie se habría enterado de casi nada. El que 14 horas mas tarde no hubiera respuesta fué lo que desencadenó mi cabreo total. Y creo que con razón.

Me parece inexplicable que una empresa tan grande, con tantas zonas horarias que cubrir, no tenga un soporte 24/7 aunque sea para apaciguar y priorizar incidencias.

La resolución de la incidencia ha sido perfecta. Al menos para mi (y por desgracia, también para el asaltante de mi cuenta): Uber me ha devuelto todos los cargos que se hicieron esa noche. Espero que de alguna forma pillen a la persona o personas que lo hicieron.

He consultado con la compañia sobre la forma en la que el asaltante pudo tomar control de mi cuenta. Tomando los datos que me han proporcionado, el atacante se identificó con mis credenciales. Mi direccion de email (espero que no mi número de teléfono) asociado a la clave que tenía, habían sido usadas en algún servicio de forma temporal en algun momento de pasado. Creo que no lo había hecho en ninguno de las grandes filtraciones que ha habido y que se pueden consultar en HaveIBeenPwned, pero no puedo estar seguro y la única información que tengo es la que me ha dado Uber. Ya he realizado una batida de servicios cambiando claves.

Me sienta realmente mal que a mi, que evangelizo sobre estos temas, que suelo tener mucho cuidado con no tener la misma clave en varios sitios, y que en los últimos años uso directamente un generador de contraseñas, me hayan pillado de esta manera. Una lección de humildad para mi y un lección que debes aprender tu, que me estas leyendo, para que no te pase como a mi: nunca, nunca jamas uses la misma clave en dos servicios distintos

Reacciones por twitter: muchas gracias a todos los amigos que hicieron retweet cuando lo necesitaba. Gracias a todos los que me dieron ideas y gracias a todos los que han preguntado en que acabó la cosa. Gracias.

"Otras" reacciones por Twitter: algunos usuarios, cercanos al colectivo del Taxi, han aprovechado (o intentado) para arrimar el ascua a su sardina. Asi que tal como comentaba por Twitter esta mañana, quiero dejar claro que no soy precisamente un fan de Uber. Su politica empresarial, sus acciones para librarse de la competencia y su (hasta hace poco) CEO me han parecido siempre impresentables. No he usado nunca sus servicios y si puedo evitarlo, seguiré sin hacerlo. Pero si en algún momento tengo que elegir algún transporte con conductor, lo haré por delante de los Taxis, al menos en España. La actitud del colectivo de taxis en nuestro país me parece tan impresentable y tan troglodita que prefiero ir andando antes que usar el servicio de taxis. Y por si alguien se lo pregunta: para cuando necesito usar este tipo de servicio con conductor mi favorito es Cabify, con quien nunca he tenido un solo problema.

Para terminar: es de justicia agradecer el soporte (pasadas las 15 horas) y la velocidad de Uber en solucionar el problema. Se que a ninguna empresa le gusta la publicidad negativa y que prefieren pagar a tener usuarios haciendo ruido en contra en las redes. Pero aún así, podrían haber dicho: "el usuario entró con tu usuario y clave y por tanto eras tu. Haber protegido mejor tu clave" y entrar en discusiones sobre como el cracker se hizo con mi clave. Pero no ha sido asi y tengo que agradecerlo. El trato final ha sido excelente (curiosamente, las preguntas que he lanzando luego han sido respondidas mucho mas rápido que las del problema original) y asi tengo que reconocerlo.

Asi pues, al final del todo: ¡gracias Uber!


 

sábado, 15 de julio de 2017

Uber, con este soporte os podéis ir a ...


Está uno tranquilamente en su casa a media tarde cuando de repente entra una llamada de Francia. Curioso, pero en los últimos tiempos he recibido llamadas que finalmente eran spam telefónico desde Reino Unido o Nueva Zelanda (parece que la globalización también es esto) asi que simplemente corto la llamada.

Pero un minuto después vuelven a llamar, asi que lo cojo. Mi interlocutor solo acierta a decir Allô? Allô? y tras unos segundos intentando hablar en ingles o español, desisto y corto la llamada. Segundos despues recibo un SMS:

Cest le chauffeur Uber jarrive

No tengo ni idea de francés, pero deduzco que mi chofer de Uber está esperándome. Imposible, no he usado nunca Uber aunque tengo cuenta desde 2014 (siempre, al final, he usado Cabify en España y transporte público fuera). Y por supuesto, no estoy en Francia. Respondo por SMS en inglés diciendo que hay algún error y lo ignoro, alguien se ha equivocado marcando mi número.

A medianoche suena de nuevo mi móvil. Otro número diferente también de Francia. El mismo caso: intento hablar en inglés con mi interlocutor que tampoco sabe inglés asi que tras un par de intentos trato de explicar con el traductor de Google que hay un error, que es la segunda vez que me pasa y que por favor lo notifique a su compañía.

Pero me quedo con la mosca detrás de la oreja y empiezo a atar cabos. Si me llaman de Uber es porque alguien ha registrado mi número de teléfono. Pero eso no puede pasar.. ¿o si?. Otra opción es que alguien haya entrado con mi cuenta. ¿Es posible?. Hace meses que no tengo a aplicación de Uber instalada, pero me la instalo. Mi número de teléfono y clave siguen ahí. Consulto mis viajes realizados y ... WTF!! . Tengo tres viajes hoy. En Francia. Me voy a la aplicación web, a ver si tengo mas información. Si, la tengo: no sólo he hecho esos tres viajes sino que me he pegado cuatro comilonas, una de ellas con 6 hamburguesas (por valor de 78€ en Brooklyn Village) rematado con dos pedidos diferentes en Crep'Land de 56€ y 27€. Parece que estoy disfrutando gastronómicamente de mi viaje a Paris... aunque mi cuerpo está en Madrid. Hago un comentario en twitter a la cuenta de @Uber_es pidiendo ayuda. Adrinavarro me sugiere que contacte con la cuenta de @Uber_support. Asi lo hago.


Está claro que alguien ha accedido de alguna forma mi cuenta de Uber. Cambio la clave de la aplicación (espero que tengan las mas mínimas medidas de seguridad y cierren las sesiones en otras aplicaciones cuando se cambia la clave). Intento ponerme en contacto con la empresa. Son las 00:30 asi que asumo que será dificil que haya alguien si encuentro un teléfono de soporte. No existe tal teléfono. Si que encuentro un formulario web de ayuda donde dejo un mensaje diciendo que tengo un problema de seguridad grave, que alguien está usando mi cuenta y que necesito soporte urgente.

Mientras, voy intentando recopilar información y borrar las tarjetas de la cuenta. No me deja borrar las tarjetas porque no se pueden borrar mientras estoy haciendo un viaje. ¡Siguen usando mi cuenta!. Efectivamente, unos minutos después consigo borrar una de las tarjetas (no me deja borrar las dos, tiene que quedar al menos una) y veo el resumen del viaje


Son los postres de la cena de 6 hamburguesas.

Envío un par de tweets mas pero no recibo contestación. Como ya es bastante tarde y asumo que no voy a recibir respuesta, me acuesto para continuar por la mañana.

Al despertar veo que no tengo nueva información aún, así que empiezo a cabrearme. Empiezo a revisar otros sitios que pudieran tener la misma clave. Creo que nunca he usado esa clave en ninguno de los lugares crackeados (al menos no en los típicos de HaveIbeenPwned) .

El amigo Diego se sorprende de que no haya recibido respuesta casi 10h despues

Me remite también a la cuenta de @Uber_support que, no me había dado cuenta, parece que efectivamente responden rápido. Intento contactar por mensaje directo de twitter y admiten que les envie mensajes cualquiera, no solo las cuentas a las que siguen. Así que les cuento el caso resumido y completo, incluidas formas de contacto. Son as 10:20 y les vuelvo a notificar en público.


Bajo a hacer unas compras. Con el ojo pegado a las notificaciones del movil. Nada. Llego a casa. Nada. Me empiezo a cabrear en serio.


Dejo pasar un rato y empiezo a considerar contarlo (ahora lo estás leyendo) en público. Sigue sin haber respuesta de Uber aunque veo que su cuenta de soporte si que responde a otros usuarios.


Son en este momento prácticamente las 14.00. Han pasado 14 horas desde que notifiqué a la empresa el problema. Problema que considero suficietemente serio como para una empresa del tamaño de Uber lo tome como algo realmente importante. Hay dinero en juego. Concretamente 383,59€.



En mi empresa, infinitamente mas pequeña, nos tomamos los problemas de los clientes mucho mas en serio. No puedo entender el tardar 14h en responder a un problema grave de caida de servicio, filtración de datos o cualquier otro problema de ese calibre. La falta de atención de Uber está siendo inexplicable y cabreante. Muy cabreante.

Seguiré actualizando esta anotación con las novedades que vaya habiendo sobre este tema. Espero que esos 383€ sean recuperables. Por favor: cualquier comentario o sugerencia sobre como actuar será muy bienvenida, tanto por aquí como por twitter.

Actualización 15:00: Aparentemnete, todo solucionado. La verdad, viendo la prisa que se estaban dado pensaba que el tema iba a ser mas largo. Han puesto los coste de los viajes de ayer a cero (no se si en la tarjeta me llegará un cargo y un ingreso o no llegará nada) y pedido disculpas por el retraso. Sigo alucinando con que hayan tardado 14 horas en responder. No se si el haber dado el coñazo por twitter y escribiendo esto ha tenido algo que ver o no. Me quedo con la duda..




viernes, 17 de febrero de 2017

Blockchain y Bitcoin en T3chfest

Post-t3chfest. Sigo con poco tiempo para escribir pero creo que voy a forzarme a ello. Al menos quiero tener por aqui un resumen de algunas de las cosas que pasaron en la t3chfest 2017.

Lo primero: FELICITACIONES, MUCHAS FELICITACIONES a la organización. Un evento creado por estudiantes, gratuito, con mas de 1000 asistentes... y ninguna incidencia. Es un mérito increíble. Que en su quinta edición hayan sido capaces de llamar tanto la atención como para que hasta el alcalde de Leganés haya estado en la inauguración roza lo épico.

Seguro que ellos, desde dentro han visto mas cosas que mejorar. Yo, desde fuera, sólo he visto una: tienen que mejorar los tiempos: cuando un ponente se va de tiempo hay que cortarle el micro porque si no el resto de charlas posteriores se van de tiempo y luego es dificil sincronizar el resto de tracks. El resto, perfecto.

Con respecto a mi charla: estaba muy, muy nervioso. Y se nota en el vídeo, sobre todo al principio. Luego mejoró un poco la cosa. Pero será mejor que la veáis vosotros mismos:



Por los comentarios en twitter y la gente al salir de la charla y por los pasillos, parece ser que gustó. Y sobre todo mucha gente empezó a conocer de que va esta tecnología que aunque lleva ya unos cuantos años entre nosotros (y, en mi opinión, vamos a ver como evoluciona y revoluciona todo lo que toca) es una gran desconocida no ya entre la gente corriente (bitcoin) sino entre los técnicos (blockchain).

Al terminar, el equipo de Autentia me hizo la siguiente entrevista:


Y para tener en esta anotación todo junto, pongo también por aquí las slides para que podáis seguir el vídeo viéndolas con buena resolución:



El resto de charlas a las que asistí fueron también muy interesantes. Pero por estar relacionadas con el tema que me trae loco últimamente (blockchain), voy a poner por aquí también el vídeo de los hermanos Chavarri sobre temas de Blockchain. Ellos, unos habituales en Hackatones, ya han jugado un poco con esta tecnología y podéis ver su charla en este enlace





sábado, 4 de febrero de 2017

Blockchain y Bitcoin en t3chfest (pre-charla)

Llevo mucho, demasiado tiempo, sin pasar por aqui. Es cierto que me han dado ganas mas de una vez de hacerlo pero al final otras cosas tienen mas prioridad desde hace unos meses y apenas hay tiempo no ya para escribir sino casi ni para pensar. Yo, que siempre he defendido lo bueno que es hacerlo para plasmar de alguna forma los pensamientos y ordenarlos, me veo ahora sin hacerlo desde hace meses. No voy a hablar ya del otro blog, Aerotrastornados, completamente abandonado a su suerte.

A primeros de año estuve a punto de volver, siguiendo la moda que comenzó Bonilla proponiendo los objetivos para el año. Afortunadamente ese no fué un objetivo para este año. :-)

Ahora, pasados unos meses, estoy preparando una charla para la semana que viene en t3chfest hablando sobre Bitcoin y Blockchain (y de paso, algo de Smart Contracts) y creo que merece la pena contar algo sobre el tema. En esta anotación incluiré tras la charla las slides de la misma y si hay video, tambien. Si no, incluiré el vídeo que grabé la semana pasada contándolo en Virtual Software como preparación. No será lo mismo, pero si es lo único que hay.




Descubrí la tecnología Blockchain hace unos 6 meses cuando leí el libro Mastering Bitcoin y encontré la maravilla tecnológica que hay detrás de la moneda BitCoin: el blockchain. Me sorprendió tanto que, por ejemplo, en CodeMotion 2016 no hubiera ninguna charla sobre este tema que me forcé a presentar una para t3chfest que me aceptaron.

Los conceptos básicos son geniales de lo simples que son:

  • Crear bloques con transacciones y enlazar unos con otros usando el SHA-256 del bloque anterior como parte del actual de forma que es imposible modificar un bloque pasado sin romper toda la cadena hacia delante.
  • La red se pone de acuerdo de forma automática (consenso) sobre cual es la cadena correcta (si hay discrepancias) usando la cadena mas larga en cada caso.
  • Para crear cada bloque, es necesario una prueba de esfuerzo que garantiza que alguien ha gastado recursos en asegurar cada bloque. Se compite por la creación de los mismos y se recompensa con nuevos bitcoins a quien consiga resolver un complejo problema matemático que solo puede ser resuelto por fuerza bruta.
Hay muchos más pequeños detalles que hacen increíblemente potente el sistema (merece una mención especial el sistema de Arbol de Merkle usado para validar si una transacción está dentro de un bloque, aunque no sea una invención exclusiva de blockchain), tanto que sinceramente creo que se avecina una revolución en la forma de proceso de datos distribuidos de la mano de esta tecnología. Una revolución, ademas, que si somos capaces de canalizar adecuadamente nos puede dar el poder de nuestros datos -nuestro dinero en el caso de bitcoin- a los usuarios. Algo que sin duda necesitamos en estos tiempos.


 (Comentaba al principio lo bueno que es escribir. Los 30 minutos que he tardado en escribir esta anotación me han servido para poner en claro algunas ideas que me estaba costando reflejar en las slides de la presentación. Definitivamente, tengo que escribir más)  

 Actualizacion: Slides de la presentación, 4 horas antes de que empiece ;-)




Cuando tenga un rato, actualizaré y comentaré un poco mas...










viernes, 16 de diciembre de 2016

Clean Code

El otro día me prepare una charla interna en la empresa para hacer un resumen del mítico libro Clean Code. Por si acaso a alguien le viene bien el resumen, aquí pongo las slides





 

Ultimos enlaces compartidos

Aerotrastornados - Blog Aeronáutico