Tocqueville
Madmaxista
- Desde
- 13 Abr 2010
- Mensajes
- 10.909
- Reputación
- 19.671
Sobre la inseguridad de DuckDuckGo
21 enero, 2017 por Daniel Ybarra
Voy a ir directamente a la evidencia, sin comentar demasiado, las fuentes están al pie del artículo, los textos de enlaces externos están directamente traducidos de Google con alguna pequeña modificación de interpretación (el texto original se mantiene), para ver las imágenes en grande pincha sobre ellas.
Versión corta:
El dueño de DuckDuckGo (Gabriel Weinberg) lleva años creando empresas destinadas a la recopilación de datos de usuarios para su posterior reventa, la web recopila información y modifica los enlaces a páginas de venta incluyendo códigos de afiliados; además de ello, el buscador tiene fallos (o mejoras, según se mire) relacionados con TLS termination proxy o en otras palabras: El contenido parece ser tras*portado de forma segura, pero no es así; la web guarda tu historial y de alguna manera su servidor es capaz de procesar tus datos de navegación y localización sin tener esos módulos activados, o mejor explicado: Ese supuesto “fallo orate” permite a un tercero a DuckDuckGo ver todo lo que buscas.
Versión larga:
Extracto de la Wikipedia en español e inglés:
DuckDuckGo fue fundado por Gabriel Weinberg, un empresario cuya última empresa The Names Database fue adquirida por United Online (NASDAQ:UNTD) en el 2006 por U$S 10 millones. (1)
La “Names Database” es una red social propiedad de United Online. A diferencia de la mayoría de las redes sociales, requiere que los nuevos registros incluyan cinco direcciones de correo electrónico de amigos o conocidos. El sitio comprueba inmediatamente la validez de las direcciones, evitando así el fraude. Para obtener el acceso completo al sitio, los usuarios deben enviar más de 20 direcciones de correo electrónico o comprar una suscripción de 12$USD.
Más adelante me encuentro:
La compañía fue adquirida por Classmates.com por 10 millones de dolares, Gabriel Weinberg (fundador de DuckDuckGo), tras*firió la responsabilidad y los deberes a una compañía más grande (???) en Marzo del 2006. La base de datos tenía unos 20 millones de usuarios en el momento de la venta, lo que significa que las direcciones de correo electrónico fueron compradas por alrededor de 50 céntimos por usuario.
¡UN MOMENTO! No encuentro esa información en la Wikipedia, te la has inventado. No, al contrario, esa información fue borrada, editada y reeditada, sugiero que se vea el historial de cambios:
(Como nota, tengo que decir que los apellidos de todos los actores de este entramado me parecen muy curiosos)
Continúo con el extracto de Wikipedia:
“Inicialmente si se quería acceder a la base de datos, se debía proporcionar cinco direcciones de correo electrónico, generalmente estas eran pertenecientes a amigos o familiares. Después del registro, se pueden buscar todos los nombres de todas las personas en la base de datos. Sin embargo, para ello se requieren la introducción de 25 direcciones verificables o pagar una cuota de suscripción. A partir de octubre de 2006, las suscripciones se pueden comprar por períodos de uno o tres años.
Antes de ingresar los datos se debe tener en cuenta el siguiente riesgo de privacidad: “Usted otorga a Dropbox un derecho no exclusivo, mundial, perpetuo, irrevocable, tras*ferible, libre de regalías para (a) utilizar, copiar, distribuir, tras*mitir, publicar, realizar públicamente, reproducir, editar, modificar, traducir y restructurar su información en cualquier medio que se conoce o no se conoce actualmente”
Las política de recolección/privacidad de “Names Database” permiten que los datos se utilicen para spam.” (2)
Análisis
Al analizar su política de privacidad y como la web responde ante fallos, me encuentro con los siguientes problemas y contradicciones:
Cito de su política de privacidad:
Texto original:
Traducción de Google:
“Por estas razones, DuckDuckGo adopta el enfoque de no recopilar ninguna información personal. Las decisiones de como cumplir con las solicitudes judiciales, como anonimizar los datos y cómo proteger mejor su información de los piratas informáticos están fuera de nuestro alcanza. Su historial de búsquedas es seguro para nosotros porque no puede estar vinculado a usted de ninguna manera.“
Texto original:
Traducción de Google:
“Del mismo modo, podemos añadir un código de afiliado (imagino que Weinberg será familiar del administrador de ForoCoches) a algunos sitios de comercio electrónico (por ejemplo, Amazon y eBay) que se traduce en pequeñas comisiones las cuales se devuelven a DuckDuckGo cuando realiza compras en esos sitios (Confío en que Weinberg haya configurado correctamente el servidor para que Amazon no reciba mi información en POST). No utilizamos ningún tercero para hacer la inserción del código y no trabajamos con ningún sitio que comparta información personalmente identificable (por ejemplo, nombre, dirección, etc.) a través de sus programas de afiliados. Esto significa que no se comparte ninguna información de DuckDuckGo a estos sitios y la única información que se recopila de este proceso es la información del producto, que no está vinculada a ningún usuario en particular y que no guardamos ni guardaremos en nuestro sitio.”
“No tenemos nada que compartir”
“Adopta el enfoque de no recopilar ninguna información personal.”
“Y la única información que se recopila de este proceso es la información del producto”
“Su historial de búsquedas está seguro con nosotros”
“Porque no puede vincular a usted de ninguna manera.”
Texto original:
Traducción de Google:
“Es espeluznante que los motores de búsqueda puedan ver toda esta información acerca de ti, pero ésta no suele ser la principal preocupación. La principal preocupación es cuando a) Esta información sea liberada al público o b) Se dé la información a los cuerpos de inteligencia y fuerzas de seguridad de cualquier estado.”
Imagino que también estará la opción (que este señor lleva haciendo toda su vida):
Opción c) Vendérselo a un tercero.
Entonces…
Si ninguna información es compartida por DuckDuckGo a otros sitios, no guardas ningún dato mio… pero… mi historial si lo guardas, pero no puedes relacionarlo conmigo, pero de alguna manera mágica pones códigos de afiliados y “la única información que se recopila de este proceso es la información del producto“, pero me encuentro con esto:
¿Tengo que pensar que de alguna manera tu servidor web procesa mi IP pero no, pero sí, pero era broma?
Vamos a retroceder un poco en el tiempo y ver como DuckDuckGo llegó a donde está.
-Duckduckgo, una web misteriosa aparece de la nada, hecha por Mr Weinberg.
–Nos promete el oro y el jovenlandés: Privacidad, respeto y no reventa. ¿Pero podemos fiarnos de que no va a volver a vender nuestros datos?
-Una compañía basada en USA, pero no solo eso, si no basada en Utah (USA tiene unas penosas leyes de privacidad, pero las de Utah son aun peores). Una vez más nos promete el cielo, ¿pero puede cumplir esas promesas en las leyes de dicho país?
-Un año después de su lanzamiento es mencionada en Times Magazine: “Es como el nuevo Google”. Una compañía salida de la nada, que inmediatamente es introducida en TorBrowser, y en poco tiempo recibe cabida en Times. ¡Ya quisiera yo tener esos contactos!
-¡No te rastreamos, confía en nosotros!, nos dice el pato, mientras nos muestra resultados en la barra de auto-completar. Pero espera un momento, ¿cómo funciona ese auto-completar si la información no es sacada de terceros y obviamente no recolecta la nuestra?
-Nos muestra nuestra IP, nuestra localización, hasta nuestro User-Agent. ¿¡Pero cómo!?.
-No recopila nuestra información, pero en realidad sí, y, solo para afiliados / uso comercial, ¡el patito es pobre (solo tiene unos cuantos millones de dolares, es muy duro vivir la vida de ese modo) y tiene que alimentar a su prole!. ¿Entonces? ¿Donde está hosteado? Ahhh, en Amazon, ¡todo queda con la seguridad familiar de la computación en nube pues!
Fuentes:
21 enero, 2017 por Daniel Ybarra
Voy a ir directamente a la evidencia, sin comentar demasiado, las fuentes están al pie del artículo, los textos de enlaces externos están directamente traducidos de Google con alguna pequeña modificación de interpretación (el texto original se mantiene), para ver las imágenes en grande pincha sobre ellas.
Versión corta:
El dueño de DuckDuckGo (Gabriel Weinberg) lleva años creando empresas destinadas a la recopilación de datos de usuarios para su posterior reventa, la web recopila información y modifica los enlaces a páginas de venta incluyendo códigos de afiliados; además de ello, el buscador tiene fallos (o mejoras, según se mire) relacionados con TLS termination proxy o en otras palabras: El contenido parece ser tras*portado de forma segura, pero no es así; la web guarda tu historial y de alguna manera su servidor es capaz de procesar tus datos de navegación y localización sin tener esos módulos activados, o mejor explicado: Ese supuesto “fallo orate” permite a un tercero a DuckDuckGo ver todo lo que buscas.
Versión larga:
Extracto de la Wikipedia en español e inglés:
DuckDuckGo fue fundado por Gabriel Weinberg, un empresario cuya última empresa The Names Database fue adquirida por United Online (NASDAQ:UNTD) en el 2006 por U$S 10 millones. (1)
La “Names Database” es una red social propiedad de United Online. A diferencia de la mayoría de las redes sociales, requiere que los nuevos registros incluyan cinco direcciones de correo electrónico de amigos o conocidos. El sitio comprueba inmediatamente la validez de las direcciones, evitando así el fraude. Para obtener el acceso completo al sitio, los usuarios deben enviar más de 20 direcciones de correo electrónico o comprar una suscripción de 12$USD.
Más adelante me encuentro:
La compañía fue adquirida por Classmates.com por 10 millones de dolares, Gabriel Weinberg (fundador de DuckDuckGo), tras*firió la responsabilidad y los deberes a una compañía más grande (???) en Marzo del 2006. La base de datos tenía unos 20 millones de usuarios en el momento de la venta, lo que significa que las direcciones de correo electrónico fueron compradas por alrededor de 50 céntimos por usuario.
¡UN MOMENTO! No encuentro esa información en la Wikipedia, te la has inventado. No, al contrario, esa información fue borrada, editada y reeditada, sugiero que se vea el historial de cambios:
(Como nota, tengo que decir que los apellidos de todos los actores de este entramado me parecen muy curiosos)
Continúo con el extracto de Wikipedia:
“Inicialmente si se quería acceder a la base de datos, se debía proporcionar cinco direcciones de correo electrónico, generalmente estas eran pertenecientes a amigos o familiares. Después del registro, se pueden buscar todos los nombres de todas las personas en la base de datos. Sin embargo, para ello se requieren la introducción de 25 direcciones verificables o pagar una cuota de suscripción. A partir de octubre de 2006, las suscripciones se pueden comprar por períodos de uno o tres años.
Antes de ingresar los datos se debe tener en cuenta el siguiente riesgo de privacidad: “Usted otorga a Dropbox un derecho no exclusivo, mundial, perpetuo, irrevocable, tras*ferible, libre de regalías para (a) utilizar, copiar, distribuir, tras*mitir, publicar, realizar públicamente, reproducir, editar, modificar, traducir y restructurar su información en cualquier medio que se conoce o no se conoce actualmente”
Las política de recolección/privacidad de “Names Database” permiten que los datos se utilicen para spam.” (2)
Análisis
Al analizar su política de privacidad y como la web responde ante fallos, me encuentro con los siguientes problemas y contradicciones:
Cito de su política de privacidad:
Texto original:
For these reasons, DuckDuckGo takes the approach to not collect any personal information. The decisions of whether and how to comply with law enforcement requests, whether and how to anonymize data, and how to best protect your information from hackers are out of our hands. Your search history is safe with us because it cannot be tied to you in any way.
Traducción de Google:
“Por estas razones, DuckDuckGo adopta el enfoque de no recopilar ninguna información personal. Las decisiones de como cumplir con las solicitudes judiciales, como anonimizar los datos y cómo proteger mejor su información de los piratas informáticos están fuera de nuestro alcanza. Su historial de búsquedas es seguro para nosotros porque no puede estar vinculado a usted de ninguna manera.“
Texto original:
Similarly, we may add an affiliate code to some eCommerce sites (e.g. Amazon & eBay) that results in small commissions being paid back to DuckDuckGo when you make purchases at those sites. We do not use any third parties to do the code insertion, and we do not work with any sites that share personally identifiable information (e.g. name, address, etc.) via their affiliate programs. This means that no information is shared from DuckDuckGo to the sites, and the only information that is collected from this process is product information, which is not tied to any particular user and which we do not save or store on our end.
Traducción de Google:
“Del mismo modo, podemos añadir un código de afiliado (imagino que Weinberg será familiar del administrador de ForoCoches) a algunos sitios de comercio electrónico (por ejemplo, Amazon y eBay) que se traduce en pequeñas comisiones las cuales se devuelven a DuckDuckGo cuando realiza compras en esos sitios (Confío en que Weinberg haya configurado correctamente el servidor para que Amazon no reciba mi información en POST). No utilizamos ningún tercero para hacer la inserción del código y no trabajamos con ningún sitio que comparta información personalmente identificable (por ejemplo, nombre, dirección, etc.) a través de sus programas de afiliados. Esto significa que no se comparte ninguna información de DuckDuckGo a estos sitios y la única información que se recopila de este proceso es la información del producto, que no está vinculada a ningún usuario en particular y que no guardamos ni guardaremos en nuestro sitio.”
“No tenemos nada que compartir”
“Adopta el enfoque de no recopilar ninguna información personal.”
“Y la única información que se recopila de este proceso es la información del producto”
“Su historial de búsquedas está seguro con nosotros”
“Porque no puede vincular a usted de ninguna manera.”
Texto original:
It's sort of creepy that people at search engines can see all this info about you, but that is not the main concern. The main concern is when they either a) release it to the public or b) give it to law enforcement
Traducción de Google:
“Es espeluznante que los motores de búsqueda puedan ver toda esta información acerca de ti, pero ésta no suele ser la principal preocupación. La principal preocupación es cuando a) Esta información sea liberada al público o b) Se dé la información a los cuerpos de inteligencia y fuerzas de seguridad de cualquier estado.”
Imagino que también estará la opción (que este señor lleva haciendo toda su vida):
Opción c) Vendérselo a un tercero.
Entonces…
Si ninguna información es compartida por DuckDuckGo a otros sitios, no guardas ningún dato mio… pero… mi historial si lo guardas, pero no puedes relacionarlo conmigo, pero de alguna manera mágica pones códigos de afiliados y “la única información que se recopila de este proceso es la información del producto“, pero me encuentro con esto:
¿Tengo que pensar que de alguna manera tu servidor web procesa mi IP pero no, pero sí, pero era broma?
Vamos a retroceder un poco en el tiempo y ver como DuckDuckGo llegó a donde está.
-Duckduckgo, una web misteriosa aparece de la nada, hecha por Mr Weinberg.
–Nos promete el oro y el jovenlandés: Privacidad, respeto y no reventa. ¿Pero podemos fiarnos de que no va a volver a vender nuestros datos?
-Una compañía basada en USA, pero no solo eso, si no basada en Utah (USA tiene unas penosas leyes de privacidad, pero las de Utah son aun peores). Una vez más nos promete el cielo, ¿pero puede cumplir esas promesas en las leyes de dicho país?
-Un año después de su lanzamiento es mencionada en Times Magazine: “Es como el nuevo Google”. Una compañía salida de la nada, que inmediatamente es introducida en TorBrowser, y en poco tiempo recibe cabida en Times. ¡Ya quisiera yo tener esos contactos!
-¡No te rastreamos, confía en nosotros!, nos dice el pato, mientras nos muestra resultados en la barra de auto-completar. Pero espera un momento, ¿cómo funciona ese auto-completar si la información no es sacada de terceros y obviamente no recolecta la nuestra?
-Nos muestra nuestra IP, nuestra localización, hasta nuestro User-Agent. ¿¡Pero cómo!?.
-No recopila nuestra información, pero en realidad sí, y, solo para afiliados / uso comercial, ¡el patito es pobre (solo tiene unos cuantos millones de dolares, es muy duro vivir la vida de ese modo) y tiene que alimentar a su prole!. ¿Entonces? ¿Donde está hosteado? Ahhh, en Amazon, ¡todo queda con la seguridad familiar de la computación en nube pues!
Fuentes: