TenCuidado.es - Alerta: en este mismo instante, alguien está intentando tomarte el pelo


Fallo de privacidad en “No dejes de volar”, de Universia

Por | 21 de Junio de 2010 | No hay comentarios  

Nos remite este artículo Sollet. Aunque no implica un engaño propiamente dicho, consideramos de interés su publicación.

Accediendo a la página http://fiesta.nodejesdevolar.com nos informan que podemos registrarnos gratuitamente para obtener una entrada al Parque de Atracciones de Madrid el próximo jueves 24 de junio.

Esa página web suena a servicio de suscripción de publicidad por sms, ya que piden nombres, apellidos, DNI y móvil. Aún no siendo así, extraña mucho que por el mero hecho de registrarte en una base de datos, de la que puedes darte de baja inmediatamente según la LOPD, te regalen una entrada que se puede replicar exactamente con Microsoft Word en un minuto, aunque quizás para comprobarla soliciten el DNI…

Sin embargo, el verdadero problema es el siguiente: de habernos registrado, la privacidad de nuestro nombre está tan comprometida que introduciendo la siguiente página web y modificando los números que marco en rojo podemos acceder a los datos personales de gente registrada: http://fiesta.nodejesdevolar.com/ficherosusuarios/entradaXXXXXXX.pdf

Así, si sustituimos XXXXXXX por 3473964 (http://fiesta.nodejesdevolar.com/ficherosusuarios/entrada3473964.pdf) tenemos la entrada de qweqweqwe (pseudónimo con el que hice una prueba), mientras que si lo hacemos por otros números secuencialmente cercanos, obtendremos los nombres de otros asistentes (este portal ha verificado dicho extremo, pero por motivos obvios no vamos a enlazar a un PDF con nombres reales).

Aún no siendo una fuga de datos excesivamente grave, estaría bien que la empresa que ha hecho esa página web se tomara más en serio la protección de datos, ya que quizá esta vez los documentos accesibles sólo contengan el nombre completo pero en otras podrían llevar DNI, dirección y otros datos sensibles.

Entrando en términos técnicos, los PDF deberían generarse “al vuelo” para cada usuario, y no almacenarse en el servidor mediante URL estáticas (y menos aún secuenciales).


¿Te ha gustado este artículo?

¿Quieres opinar? Tu comentario nos interesa.

Suscríbete a nuestro feed y recibirás al instante las nuevas entradas. También puedes seguirnos a través de Twitter, Facebook y Telegram. Además, si tienes poco tiempo, puedes escuchar nuestro resumen en podcast. ¡Será por opciones!

Comparte este artículo en...

Menéame Facebook TumblrTumblr Live Spaces
Digg Technorati Barrapunto MySpace
Yahoo! Google Bookmarks Del.icio.us Reddit


Comparte tu opinión (política de privacidad y legal)
Recuerda que también puedes participar en nuestro foro, en nuestro tagboard y en el canal de IRC.

Los campos marcados con * son obligatorios




Ver estadísticas

hit counter
Este sitio funciona con WordPressTema MilBits por Portal Programas • Licencia del contenido: Creative CommonsAviso legal