De esta forma creo que es la mejor forma de empezar a contar lo que ya prometía desde hace unos días como la historia con mas dejadez, desconocimiento, descoordinación y amenaza que he vivido en los últimos meses.
Contemos la historia de manera histórica, es decir, con fechas y hechos reales. El hidalgo, La Caixa, y los molinos de viento serán intepretados por ServiTicket.com
Era una mañana de 18 de Noviembre en la que me dispongo a usar el portal de adquisición de entradas ServiTicket para realizar la reserva de 2 butacas. Navegándolo me doy cuenta de un fallo. Perplejo de mí, investigo poco a poco el asunto, mirándo su código fuente en cada uno de los procesos de la entrada y termino con la conclusión de que, efectivamente, hay un fallo, por el cual, se podrían reservar absolutamente todas las butacas de una sala, de una sesión en un cine determinado, dejando por tanto la sala totalmente "ocupada" virtualmente.
Poco a poco me voy empapando de cómo ServiTicket está conectado a las taquillas de los cines y cómo se realizan las reservas. Al principio creía que era una cosa que veía yo localmente en mi ordenador, pero tras realizar otra prueba de "adquisición masiva" con un amigo "al otro lado del chat", me confirma que la sala está efectivamente llena y que no puede adquirir ninguna entrada.
Hasta este punto, la prueba la había realizado sólo en una sala, y además de manera temporal, es decir, dejando que la sesión de visitante en el servidor caducara, ya que ServiTicket dispone de un máximo de 15 minutos con esa entrada "al descubierto" para su adquisición final comprándola ya con la tarjeta de crédito (fín del proceso en la venta de entradas de su Web).
Un par de días más tarde, el 20 de Noviembre, veo, haciendo otras pruebas, que también se podía realizar dicha prueba en varias salas de cine a la vez, con varias sesiones distintas y en varias ciudades a la vez, y que para colmo, la prueba podía no ser temporal, es decir, que los 15 minutos de expiración de "reserva" podían también ser eliminados y tener las butacas permanentemente ocupadas, de forma que ni las propias taquilleras en los cines podían usarlas.
El 22 de Noviembre, dada la importancia del problema, decido llamar por teléfono a una sucursal de La Caixa, donde explico todo lo sucedido y me comunican que, inmediatamente, se ponen en contacto con superiores o responsables de este asunto. Doy fe, en este punto, de que es así. Con lo que a día 22/11 al menos me quedo "tranquilo" de que La Caixa conoce el problema y que un responsable de este asunto en particular va a conocer en las próximas horas el problema.
Mi asombro y preocupación crecen a lo largo de los días cuando ésos van pasando sin que yo reciba ninguna llamada (dejé mi nombre y teléfono móvil), sin que en la página Web de ServiTicket aparezca algún mensaje y sin que, más impresionante aún, el problema sea resuelto.
Llegados a este punto me dedico a modo personal a calcular los costes que supondrían de pérdidas el, por ejemplo, reservar de 20 ciudades españoles, 10 sesiones de las 22:00 de un sábado al completo… ¿os imaginais más grande el ejemplo?. Dejémoslo en pérdidas millonarias (de euros) y el consiguiente boom mediático que esto tendría, así como los posibles acuerdos que tengan ya los cines con el servicio de tickets de La Caixa.
Afortunadamente para La Caixa, (y digo afortundamente, porque es así), desde un principio (y hasta un final) mi objetivo ha sido pura y únicamente que La Caixa arreglara el problema y que pusiera en su página Web que ha sido solucionado, pues otros habrían liberado el código por Internet o usado desde algún cibercafe.
Después varios y varios días llamando a la sucursal de La Caixa donde dejé el primer mensaje y sorprendido de la pasividad me dispongo el 2 de Diciembre a publicarlo en este blog. Después de varios comentarios recibidos, uno de ellos me sugiere que lo que digo no es cierto, por lo que decido grabar un video en el que se muestra paso por paso que se puede realizar, pero no la forma de realizarlo (esto es muy importante para el final de esta historia).
Además, y tras una "recomendación" en un comentario, el 3 de Diciembre a escribir una nota a los medios de comunicación, que publicaron la mayoría. En concreto la captura de pantalla que ves a la derecha es del Heraldo de Aragón, del 5 de Diciembre.
Sigo llamando insistentemente y preocupándome por qué puede estar pasando y por fín recibo una llamada el 10 de Diciembre, de un responsable del servicio de ServiTicket.com, es decir, 18 días después del primer comunicado.
En ella explico todo lo ocurrido y les comento que mi deseo es poder quedar in situ, para explicarles cómo he averiguado el fallo e incluso decirles cómo podrían solucionarlo rápidamente, ya que me presento como administrador y analista de sistemas y programador. Me comentan entonces que van a hablar con superiores para poder realizar dicha reunión y les comento que la historia va a seguir publicada en Internet hasta que contacten conmigo pues esa llamada no me decía nada y no servía en absoluto, pues parecía una llamada del tipo "llama al chaval ese" en lugar de un interés real de alguien preocupado por un agujero en una programación con posibles pérdidas económicas, que es lo que realmente había.
Recibo otra llama el 12 de Diciembre, del Dpto. de Seguridad de La Caixa (no pongo el nombre de la persona, aunque lo tengo). En esta llamada me piden desactivar el video, y les comunico que así será siempre y cuando reciba en las próximas 48 horas una llamada de alguien responsable con el que poder hablar y determinar una fecha para una reunión, pues la persona que me llamó no podía ofrecerme esto. De hecho, se ve en una actualización del artículo original, una nota que pone: El video ha sido desactivado temporalmente ya que por fín, a las 3 semanas de avisar a La Caixa, un responsable del Dpto de Seguridad de la entidad, me ha llamado para comentarme que le había llegado dicha información. Me ha pedido, de buena fe, que quitara el video que muestra la forma de llenar las salas de cine, y he accedido, también de buena fe a quitarlo hasta que recibiera una explicación y tuviera una conversación con ellos, que espero sea muy pronto..
Así pues, 3 días más tarde, informo en este mismo artículo, que, cito textualmente: "debido a que nadie me llama de La Caixa, considero que siguen pasando del tema. Aquí va el video de nuevo. Yo creo que no saben realmente lo importante del problema.". Por tanto pongo público el video de nuevo.
Mi sorpresa es cuando recibo el 19 de Diciembre (a las 13:52) un burofax del Director Ejecutivo de la Asesoría Jurídica de La Caixa, en donde en apenas 4 parrafos expresan:
- que conocen la existencia del video colocado en este blog
- que no mantienen la impresión de la pasividad a la que yo abogo en la nota de prensa que envié a los medios (y que así se mostró)
- su deseo requiriendome formalmente que dé de baja el video del blog, ya que no hace más que instigar o inducir a terceros
- su advertencia de que cualquier ataque que pueda producirse en sus sistemas se seguridad con origen en las pautas del video, darán derecho a interponer las acciones legales, …
Explicaré por tanto el titular de este articulo:
Pasotismo: porque simplemente han tardado en primer lugar 18 días en contestarme a una sugerencia y advertencia de fallo en su sistema de venta de entradas, y después han pasado totalmente de realizar una reunión conmigo para explicarles y ayudarles en el problema
Amenazas: por el burofax enviado advirtiéndo de su derecho a poderme denunciar por, prácticamente, cualquier problema que tengan de ahora en adelante con su venta de entradas.
Descoordinación: porque todavía no me ha llamado nadie responsable con el que pudiera quedar y explicarle el problema, pues las dos llamadas no fueron en ningún caso de ServiTicket, sino de un (aparentemente) "mandao", y de un Dpto de Seguridad que simplemente tenía el claro objetivo de hacerme quitar el video, sin preocuparse del problema, ni de realizar la reunión conmigo.
El video fué quitado a las pocas horas de recibir dicho burofax, pero ahora yo mismo tengo algunos comentarios y preguntas que hacer a la comunidad y a quién quiera ayudarme.
En primer lugar, tal y como decía a mitad de artículo, el video no muestra la forma de duplicar el problema, sino que se puede realizar, con lo que no se de que manera podría instigar o inducir a nadie a realizarlo. Quizá haya algún programador superdotado que con sólamente ver el video, es capaz de ver toda la programación y formas de duplicar el problema. Es imposible. Me encanta poner ejemplos, así que pondré uno, un poco burro eso sí, pero a ver si sirve… Es como culpar a Bin Laden de cualquier ataque de avión contra un edificio porque el fué el primero que lo hizo y las imagenes en televisión pueden instigar o inducir a otro a hacerlo. Otra cosa es que Bin Laden (o alguien de su organización) publicara un video de cómo saltarse la seguridad, cómo pilotar un avión para estrellarlo contra edificios, cómo… ¿me explico?
En segundo lugar, parece que ahora voy a ser culpable de cualquier problema en los sistemas informáticos de La Caixa que puedan tener origen en las pautas del video. Viendo como se están comportando, parece que cualquier pauta podría ser sacada de dicho video y que voy a tener que pagar toda mi vida el titulo de "primer sospechoso" cuando ocurra algo en dicha entidad bancaria y más aún, en su sistema de venta de entradas ServiTicket.
Y ahora tengo unas preguntas, con las que me gustaría que me ayudarais…
1) ¿Tengo realmente la obligación de quitar ese video si no muestra en ningún caso la forma de hacerlo, sino simplemente la demostración de que se puede hacer? (El video muestra el proceso de compra en ServiTicket.com, y cuando se ve la sala vacía, se pulsa un botón en otra pantalla que pone "Ocupar sala" y entonces se recarga la página y se ve la sala llena, lógicamente no se ve la programación ni nada)
2) ¿No es una amenaza ese burofax?
3) ¿No han tardado bastante en ponerse "en contacto" conmigo? (y todavía no lo han hecho para reunirnos)
Amigos, esta es la historia. Así de simple. A ver cuántas actualizaciones tengo que poner… :)
Nota 1: Todas las pruebas que se han realizado han sido a través de la página Web sin usar ningún software específico de ataque y simulando siempre un navegador Web normal.
Nota 2: Nunca se ha intentado, ni por supuesto conseguido, entrar en los servidores de ServiTicket o derivados, ni de La Caixa, para la realización en parte o totalmente de lo contado en esta historia, de manera ilegal. Se reitera por tanto la nota 1.
[tags]ServiTicket, Caixa, seguridad, entradas, cine, amenaza, burofax[/tags]