Nos remite este artículo Sollet. Aunque no implica un engaño propiamente dicho, consideramos de interés su publicación.

Accediendo a la página http://fiesta.nodejesdevolar.com nos informan que podemos registrarnos gratuitamente para obtener una entrada al Parque de Atracciones de Madrid el próximo jueves 24 de junio.

Esa página web suena a servicio de suscripción de publicidad por sms, ya que piden nombres, apellidos, DNI y móvil. Aún no siendo así, extraña mucho que por el mero hecho de registrarte en una base de datos, de la que puedes darte de baja inmediatamente según la LOPD, te regalen una entrada que se puede replicar exactamente con Microsoft Word en un minuto, aunque quizás para comprobarla soliciten el DNI…

Sin embargo, el verdadero problema es el siguiente: de habernos registrado, la privacidad de nuestro nombre está tan comprometida que introduciendo la siguiente página web y modificando los números que marco en rojo podemos acceder a los datos personales de gente registrada: http://fiesta.nodejesdevolar.com/ficherosusuarios/entradaXXXXXXX.pdf

Así, si sustituimos XXXXXXX por 3473964 (http://fiesta.nodejesdevolar.com/ficherosusuarios/entrada3473964.pdf) tenemos la entrada de qweqweqwe (pseudónimo con el que hice una prueba), mientras que si lo hacemos por otros números secuencialmente cercanos, obtendremos los nombres de otros asistentes (este portal ha verificado dicho extremo, pero por motivos obvios no vamos a enlazar a un PDF con nombres reales).

Aún no siendo una fuga de datos excesivamente grave, estaría bien que la empresa que ha hecho esa página web se tomara más en serio la protección de datos, ya que quizá esta vez los documentos accesibles sólo contengan el nombre completo pero en otras podrían llevar DNI, dirección y otros datos sensibles.

Entrando en términos técnicos, los PDF deberían generarse “al vuelo” para cada usuario, y no almacenarse en el servidor mediante URL estáticas (y menos aún secuenciales).