Barrapunto

Hola!

No es ni mucho menos lo mismo pero yo estoy harto de comunicar errores (principalmente errores en textos, letras que bailna, pero tambien imagenes inexistentes en webs) a webmasters (por llamarlos de alguna manera) y no obtener respuesta, pero a las pocas horas ver como "curiosamente" se ha solventado un problema que hacia dias venia apareciendo....

Asi que, como ya estoy harto, ahora paso de intentar ayudar a la gente. La mayoria son tan maleducados que ni te lo agradecen (o ni responden al mail para decir que ya lo sabian y lo estan arreglando o lo que sea). Alla ellos, lo lamento mucho, pero acaba siendo asi.

Según leo en un comentario del artículo de Bandaancha, en el servicio de atención al cliente ya lo saben. Espero que lo solucionen pronto.
Es bueno que haya gente avispada pero con el buen criterio de avisar a la compañía y no hacer uso fraudulento de estos fallos.

Al webmaster desde luego que no, es un tipo que está contratado por ya.com, y que hace chapuzas enormes como ésta ¿Encima de que es un incompetente, le vas a salvar el culo?
Lo correcto habría sido ponerse en contacto con un alto cargo (que no es fácil; al menos más alto que el webmaster) de ya.com e informarle de lo que sucede.
A una web se recurría cuando ya.com demuestre su desentendimiento del problema (algo así como la historia Microsoft/E-eye).

Ésto es al menos lo que considero correcto.

El usuario que envió ese artículo, se puso en contacto con la Agencia de Protección de Datos y Ya.com después, según tengo entendido.

En cualquier caso, parece que ya lo tienen medio solucionado (al menos ya no puede acceder todo el mundo). Seguro que de otra forma no se hubieran dado tanta prisa...

Saludos.

Baso mi comentario en algo ocurrido en mi trabajo en la última semana:

Lo que debería haber hecho ese usuario es avisar a la guardia civil. ¿Por qué? porque cuando vemos a un guardia civil se nos ponen de corbata, pero si vienen de paisanos al trabajo, más aún: hace cosa de 3 días vinieron dos guardias civiles al curro buscando al director de servicios informáticos, por algo relacionado con un fallo de seguridad en una autentificación. No veais como les atendió mi jefe xD. Increible, en menos de 1 hora todo arreglado.

Pues en este caso, igual, o quizá incluso con más razón, porque no se puede consentir que una corporación como Ya.com cometa ese tipo de errores y, desde luego, no podemos dejar que se vayan de rositas: deben pagar una multa.

Veo perfecto que se anuncie en un Weblog un fallo de seguridad de un ISP que usan miles de internautas, lo que no veo bien esque el Moderador, añada una nota al pie de la noticia explicando como explotar ese fallo, la url completa marcando exactamente que es lo que hay que cambiar para poder ver cualquier factura de cualquier usuario de ya.com y asi, ver todos sus datos personales incluyendo el numero de cuenta. lars

Me parece muy bien avisar a la Agencia de Proteccion de Datos, a la Guardia Civil, y a quien se cruce por el camino, pero el que mayor capacidad de reacción tiene (o debería tener) para corregir el problema es el webmaster. Y creo que deberíamos estar de acuerdo en que corregirlo es prioritario en estos casos.

Así que primero se debe avisar al webmaster, y después (o a la vez) a todos los demás. Sólo vendría bien tener un poco de cuidado y dar un plazo prudencial antes de hacerlo llegar a quien potencialmente pueda explotarlo con fines ilícitos (hacerlo público).

Yo creo que deberia haber llamado a su abogado

y que el juez aplicara la ley organica de proteccion de datos de caracter personal ...

como hablamos de datos bancarios supongo que necesitaran un nivel de seguridad 2

no llegaria a enriquecerse tanto como si se trataran de datos medicos ... pero bueno ... algo es algo ;D

Me da la sensación que es algo común. A mi me llega sospechosamente a menudo gente a casa ofreciendome contratos con varias operadoras, y creo que saben que tengo un consumo de teléfono alto (unos 90-100€/mes)....

¿es eso posible?

Hola Soy el autor del post en banda ancha. Os copio las aclaraciones que puse en el site de BandaAncha sobre la misma: ===================================== Hola

Como autor del post quisiera dejar claro algunos puntos.
- Tras descubir el fallo de seguridad y pensando que era un hecho punible por la ley, me puse en contacto con la agencia de proteccion de datos telefonicamente para pedirles el email para presentar la denuncia o alertarles. La señorita me dijo que solo podria hacerlo por correo electronico. Como ya he dicho anteriormente me parece lamentable que se me diese solo esta opcion. Aun asi, en la pagina de la agencia en su apartado de preguntas a la agencia les envie la denuncia correspondiente por si la leyesen y pudiesen actuar de oficio. No envie la denuncia por correo porque para entonces -contad una semana de tiempo- los datos si que estarian por todos lados.

-Durante el dia estuve considerando como sacar la noticia a la luz. Obviamente no queria dar los datos concretos de como se podia acceder a esta informacion, pero si tenia que dar pruebas acerca de que esta informacion estaba disponible. Redacte el articulo y lo envie con 2 capturas en donde toda la informacion sensible estaba eliminada. En ningun momento envie la URL para que la informacion pudiese ser accesible. Tened en cuenta ademas que mi informacion tambien se encuentra entre la de los clientes de ya.com, con lo cual tambien ha sido posible acceder a ella.

-Envie un email a BandaAncha con la URL a titulo informativo, para que se comprobase la veracidad de este fallo. En este sentido ellos tomaron la decision de publicarlo junto a la noticia cosa que han hecho bajo su responsabilidad, pero que no creo que sea erroneo. Señalar un fallo de este tipo ha sido mas bien una advertencia al publico/clientes de ya, mas que otra cosa. Los clientes de ya.com tienen derecho a saber que sus datos han sido vulnerados, y tened por seguro que si me ponia solo en contacto con ya.com ellos no iban a comunicarle a los clientes que dicho fallo habria sucedido.

-Paralelamente al envio del articulo envie un correo electronico a el unico email que tengo que existe para ponerse en contacto con el servicio de atencion al cliente de ya.com y que tardan una eternidad en responder. No es mi culpa que su servicio sea asi. Me negue a hacerlo telefonicamente porque:

1. es un 902 y no me apetece pagar por sus errores
2. como le explico a un tecnico de ya.com que hay un fallo de seguridad y que me entienda :-|
3. La musica que ponen mientras esperas me pone de los nervios y ademas tengo el disco muy escuchado ;-)

-El fallo no es un hack, no es un crack, ni nada de eso. Es sencillamente un fallo en la arquitectura que usan en ya.com. En ningun momento se validaba al usuario (ahora por lo menos comprueba que eres de ya.com).Tampoco se hacia un envio de las variables para la obtencion de las facturas con POST, sino con GET. Normalmente en aplicaciones asi, el programador no se tiene que encargar de la seguridad, puesto que el sistema en si es el encargado de ella. Creedme, el servidor de aplicaciones que tienen (Resin) y el servidor web (supongo que sera el Apache) tiene suficientes recursos como para poder implementar esto en la capa del mismo servicio web.

-El fallo ha sucedido debido a un nuevo tipo de facturas. Las que tienen como codigo D003/XXXXXX que ahora salen en formato PDF. Las anteriores se muestran mediante otro Servelet que solo retorna HTML. Esta funcionalidad es nueva. Y si no me equivoco existe solo desde este ultimo mes. Ignoro el dia. Ahora mismo se puede intentar usar de nuevo la URL pero se comprueba que el que lo hace sea cliente de ya.com y se coteja su login. Eso si, lo que no me gusta es que si al usuario no le corresponde la factura, se devuelva un PDF vacio. Esto significa que todavia se esta dejando ejecutar el servlet aunque no se tenga autorizacion. Supongo que todo esto por ahora es temporal y estaran trabajando para arreglarlo.

- Ya por ult

Como decirlo, hace 2 o 3 años Madritel daba servicio de banda ancha (cable) a mi ex-empresa, en una topología rutinaria, el programa salió por el router y descubrió toda la estructura de nodos, clientes y demás. Por si fuera poco el tlenet de los routers estaba activado y el login era el nombre del cliente que era, por si fuera poco el nombre del router. Les llamé 5 veces y hasta que no amenacé con llamar a la prensa no hicieron, y aún así se limitaron a cambiar el login de los routers. De juzgado de guardia, no se movieron lo más mínimo, así que ¿para qué coño nos molestamos?.

No se, no sabemos en que condiciones se ha programado la pagina. Ya se sabe que las empresas *no quieren* profesionales, porque hay que *pagarlos* (aunque sea a horas extra gratis), asi que cogen a un pobre diablo y le sacan la sangre todo lo que quieren, que para eso Microsoft ha inventado Visual Basic que no requiere aprender nada. Y esto a mi no me lo ha contado nadie, porque es lo que he visto, y lo que veo.

Asi que yo no me cagaria en la puta madre del webmaster, aun. Seamos un poco cautos y respetuosos con la forma de ganarse el pan de la gente.

En cuanto a los empresarios de este pais, no hay absolutamente ninguna diferencia entre un empresario español y un delincuente comun, ambos tratan de amasar la mayor cantidad de dinero posible por medios que se pueden definir como "turbios". Habra escepciones, pero la gran masa echaria veneno en la comida para bebes para vender el antidoto a un precio astronomico. En españa la corbata y la ruindad humana estan intimimante ligadas. Y repito, hay escepciones.

seguro que algún error... hortojráfiko