"Personalissimo" (In)Seguridad

ServiTicket de ServiCaixa, continua con fallos de seguridad

[su_wiloke_sc_rating_chart title="¿Te gusta el artículo? ¡Valóralo!"]0 media basada en 0 votos[/su_wiloke_sc_rating_chart]

[su_wiloke_sc_company_website]Para explicar todo este tema, mejor hacerlo por bloques explicando preliminarmente lo sucedido…

El funcionamiento

ServiTicket permite reservar butacas en un proceso de compra a través de su Web. De esta forma, antes de llegar a la forma de pago y realmente adquirirlas se pueden reservar las butacas de cines, teatros, eventos deportivos, conciertos, etc….

La reserva creo que dura unos 10 minutos, pero en esos 10 minutos la butaca queda totalmente bloqueada, es decir, que ni a través de otra sesión de navegador ni a través de las ventanillas físicas del cine (teatro, pabellón…), ni con los cajeros automáticos se puede reservar esa butaca.

¿Que pasaría si 10 personas se pusieran de acuerdo para reservar cada 10 minutos un conjunto amplio de butacas repetidamente? Pues que la sala quedaría «bloqueada» y no podría venderse nada.

¿Que pasaría si esto lo hiciera un pequeño programa informático automáticamente?… Si estimamos que existen, por ejemplo, 200 eventos diferentes un sábado por la tarde, adquiribles por ServiTicket, y que cada uno cuenta de media con 200 butacas, y que cada uno cuesta de media 6 euros… Multiplica tu mismo y mira el dinero que se podría … «bloquear» esa tarde.

El resumen de lo que ocurrió

Esto ya lo planteé en Diciembre de 2005. Voy a resumir lo que ocurrió en aquellos tiempos:

  • Encuentro un pequeño agujerito, con el que se pueden reservar todas las butacas que se quieran
  • Informo del asunto por privado a La Caixa
  • Pasan de mi
  • Informo del asunto por privado a La Caixa
  • Pasan de mi
  • Informo del asunto por privado a La Caixa
  • Pasan de mi
  • Publico la historia en mi blog
  • Se ponen en contacto conmigo y me dicen de quitar el video. Les digo que de acuerdo, pero que quiero hablar del problema con algún responsable
  • Pasan de mi
  • Pasan de mi
  • Pasan de mi
  • Publico de nuevo el video
  • Me llega un burofax amenazándome de su Dpto Jurídico.

Todo el meollo explicado con detalle aquí.

El problema

El problema persiste. El video no muestra la forma de hacerlo, ni incita a hacerlo (comentario para el Dpto Jurídico de la Caixa). El video muestra que existe una forma (y es muy sencilla) de realizar una ocupación de una sala. El proceso que se muestra en el video llena a un 60% aproximadamente una sesión de la película «Spiderman 3» durante esos 10 minutos que comento. Obviamente, si este programa se corre automáticamente e ininterrumpidamente, el bloqueo de una sala sería continuo, cosa que obviamente, no quiero hacer, puesto que el video simplemente muestra el problema sin interferir ni fastidiar a ServiTicket (al escribir esto la sala ya se ha «liberado» de nuevo).

La solución

La solución es bien fácil y se la planteé en las primeras llamadas indirectamente a la persona que habló conmigo, pero en todo momento, lo que siempre quise es hablar con algún responsable de ServiTicket para plantearle el problema ¡¡¡ y la solución !!!. Me he sentido totalmente defraudado y engañado con las 2 personas con las que conseguí hablar en su momento, porque parecían títeres de alguien que no quería hablar, de algún responsable que se quiso esconder o pasar del tema (tal y como expliqué en la historia con detalle).

En ningún momento he querido guardarme la solución para mí, y, a poco que alguien sepa de estos procesos de compra, la solución es bien fácil (pero chssss, no la digáis por aquí, que seguro que están leyendo los programadores de La Caixa :) ).

Como bien dije y repito ahora, un año después, ni quiero dinero, ni quiero reconocimiento, ni quiero un puesto de trabajo en La Caixa. Sólo quiero que sean ellos los que se ponen en contacto conmigo, un responsable, tal y como he pedido desde el principio. Alguien que de la cara.

En su tiempo, una persona que trabajo para un departamento muy cercano a los de ServiTicket me comentó que, efectivamente, las cosas andan así de mal. Que no se preocupan por nada, pasan del tema, se lo tienen muy creído y mira… por uno que intenta comentarles un problema que les podría ocasionar verdaderos problemas económicos y jurídicos, intentan amenazarle con burofaxes para quitar un video de una página web.

En fin… así está la historia… Yo no le voy a dar más bombo al asunto porque es inútil luchar contra tanto pasotismo.

[tags]serviticket, servicaixa, entradas, tickets, seguridad[/tags]

[su_wiloke_sc_related_gallery][/su_wiloke_sc_related_gallery]

Alex

Ciudadano del mundo. Me encanta llevarme mi cámara fotográfica para inmortalizar esencias y experiencias en lugares diferentes, donde la gente vive diferente, pero donde todos disfrutamos cada día de puestas de un mismo Sol.

Vistos recientemente...

Observatorio cumple 20 años traduciendo imagenes de la NASA día a día

Memozzle supera las 50.000 descargas en menos de 3 meses

Cómo contratar a un programador

Cómo hacer un concurso y no gastar en premios

Adios Telepizza

19 Comments

  1. Ernesto

    Bien hecho por ti, aunque yo no me hubiera preocupado tanto del problema, ya que ellos deberian ser los que deberian interesarse por solucionar los fallos.

    Seguro que su orgullo es tan alto, que antes de ponerse en contacto contigo preferirán gastarse un montón de dinero contratando los servicios de alguna empresa que se lo programe bien.

    Al menos con este fallo podemos conseguir estar solos en el cine con la novia, sin que nadie diga nada. jejejej.

    21 de abril de 2007
  2. sNk

    He estado mirando la entrada anterior y la verdad no entiendo los comentarios de la gente. Me parece bien que encontrases el fallo y avisases al personal competente. No entiendo la gente que te tacha de prepotente y otras cosas peores que he podido leer. Ahora bien, tu parte ya esta hecha y si La Caixa no arregla el fallo es su problema. Creo que depues de haberles avisado en varias ocasiones y transcurrido un año desde la primera vez, si publicas anonimamente el fallo en internet para que todo el mundo pueda hacerlo, se pondran a arreglarlo (en cuanto pierdan algunos millones). Bueno, un saludo y no te preocupes por el rollo del burofax, probablemente la Caixa tiene mas abogados que informaticos y les sale mas barato enviarte un texto legal que arreglar el problemilla.

    21 de abril de 2007
  3. No

    A mi si me parece bien que sacases el problema a la luz y que lo vuelvas a sacar, porque nos afecta a muchos.

    Hay una cosa clara, si una compañia como La caixa, NO se preocupa por arreglar fallos graves en la programacion de su web que afectan DIRECTAMENTE a los usuarios finales, implica que NO se preocupan por sus clientes, por tanto NO pienso usar servicaixa. De hecho no la uso desde hace mucho tiempo.
    Y esta noticia deberia difundirse y extenderse por internet, y que la gente se de cuenta que un listo puede ocuparte media sala y tener tu que ver la pelicula a 2 cm de la pantalla porque a los señores de la caixa les importa UNA MIERDA dar un servicio decente.

    No me cabe en la cabeza como pueden rechazar esto, reportar un error grave de forma gratuita que les va a permitir no perder mucho dinero y que ni si quiera se molesten en tomar medidas para arreglarlo, sino intentar acabar con el que les informa del fallo.

    Moraleja: En esta vida, ir de buenas no sirve de nada. Hay que ir a las malas siempre. Es decir, tenias que haber denunciado a la compañia porque no ofrecian un sistema seguro para comprar tu butaca y que ellos no te podian ni pueden garantizar que al menos una vez de las que has comprado alli, no lo hiciste en otra butaca mejor situada porque alguien estaba aprovechando ese bug.

    21 de abril de 2007
  4. Fermín

    Lo que no entiendo es como no te dan las gracias los responsables de seguridad informática de esa empresa, por avisar del fallo.

    Pero la «burrocracia» es así, prefieren acallar al que intenta ayudar más que reconocer un fallo informático (que es lo más normal del mundo como saben todos los informáticos) .

    Los responsables informáticos de cajas y bancos siguen pensando que sus sistemas son inviolables y que son todo poderosos (por lo menos es lo que nos intentan vender). Y por desgracia los «malos» son muchos más, con más tiempo y en ocasiones con más conocimientos para intentar sus maldades que cualquier departamento de informática de cualquier entidad.

    Por lo que censuro el comportamiento de esa entidad y te aplaudo por comunicar el fallo de una manera tan legal (primero en forma privada y luego, al paso del tiempo, pública) No veo ninguna conducta reprochable en ello.

    Sigue así, gracias por tu blog. Saludos.

    21 de abril de 2007
  5. EFEjota

    buenas. tras leer el enlace anterior y sus comentarios he de decirte que a medida que lo leía me asaltaba la pregunta de por qué te empeñas en que acepten tu ayuda, en que te llamen… Ya lo has dicho, y está claro que no les interesa, es su problema. Son unos pasotas, vale. Pero como te decían en el hilo aquel, no puedes obligar a nadie a aceptar tu ayuda. Dejalo estar.
    Otra cosa es que lo plantees como el del comentario anterior («No») y pienses que merece la pena hacer una campaña en la red para denunciar que la Caixa no se preocupa por dar un servicio de calidad a sus clientes. Eso me parece aceptable, pero ese empeñarte en que acepten el problema que tu les quieres mostrar y que ellos no quieren ver, me recuerda más a esos fanáticos religiosos que se empeñan en mostrarte el camino de la felicidad… (tomese como una analogía ilustrativa)

    21 de abril de 2007
  6. Alex Súbaru

    Pues estoy con Alex, deberían llamarle y pedírle disculpas por su trato.
    Alex podía guardarse la solución o el error para bienes propios pero hizo lo contrario, o sea, intentar contactar con la empresa para solucionar los posibles daños.

    Ahora lo único que quiere es que los responsables le llamen pues porque sus razones tendrá. De todas maneras no exageréis tanto, Alex no obliga a que les llamen, pero sería un detalle que lo hicieran por lo menos para reconocer su error.

    Aunque hacer campaña en contra de un servicio me parece no solo de tontos sino algo inútil. Todo el mundo tiene sus errores y no se solucionan a base de golpes.

    Alex hizo bien en intentar contactar con ellos, hizo bien en no mostrar la forma de fastidiarles, e hizo bien en insistir que lo atendieran. Ahora la protesta sería de un cliente insatisfecho por su atención al cliente el cual tiene todo derecho de protestar, pero espero que no se convierta en una guerra que al fin y al cabo no servirá de nada, porque de igual forma podrán pasar de él.

    21 de abril de 2007
  7. Ancude

    Lo suyo sería interponerles una demanda por mal servicio y por no corregirlo cuando se les ha avisado de ello … a ver que dirán entonces.

    21 de abril de 2007
  8. Scrambler

    Una vez mas me quito el sombrero hacia ti y me da una gran decepción La Caixa por tener este fallo tan importante. Estaria bien hacerlo 1 hora antes del estreno de alguna película taquilleras, entonces si que habría demandas… XD

    22 de abril de 2007
  9. Existence

    Demasiado bueno me pareces. Yo, después de como te ha tratado, del pasotismo absoluto y la prepotencia con la que van, haría lo siguiente, el orden en el que lo apliqués es cosa tuya ;)

    – Intentar sacar el máximo partido posible (es La Caixa, les SOBRA el dinero), pero la tocada de cojones que te han hecho no tiene nombre.

    – En lugar de que tú seas el que denuncia, que denuncien sus clientes, es decir, LOS CINES QUE LES PAGAN UN % POR CADA VENTA… empieza a ver todas las cadenas de cines con las que trabajan y plantéales a ellos el problema, verás que rapidito se ponen las pilas.

    Por otro lado, felicitarte por la paciencia que has tenido. Chapó.

    22 de abril de 2007
  10. Lek

    Forma de actuación típica: El agujero no existe si nadie más lo sabe. Y cuando se les advierte, mandamos a los matones y punto. Patético…

    Personalmente creo que no merece la pena perder el tiempo con gentuza. Se merecen que alguien les pete el servicio.

    23 de abril de 2007
  11. Paranoias

    Imagínate la de salas que se podrían quedar vacías por culpa de eso, y no lo arreglan? No es por nada pero se están ganando un ataque masivo ;)

    23 de abril de 2007
  12. Numantia

    Como dice Existence, demasiado bueno eres. De todas formas, yo me dejaría de lios, viendo como tratan el tema ellos…

    24 de abril de 2007
  13. Ferran

    Cómo esta el tema? han resuelto ya los fallos de seguirdad?

    20 de junio de 2007
  14. Alex

    va a ser que todavía está el fallo !!! :D
    son unos huevones

    Alguien quiere bloquear TODAS las salas de cine algún día ? :D
    quizá el día del estreno de Shrek 3 y ver sólo con la novia la peli ? :D

    20 de junio de 2007
  15. Julio

    Lo de este servicio de venta de entradas es una mierda.
    Por teléfono, me tienen un rato con comentarios idiotas y luego me ponen una música aún más idiota. Al cabo de un rato vuelven otros comentarios memos y, mientras, el que está pagando sus sandeces soy yo.
    Entro en Internet y se me cuelga en su web: http://www.servicaixa.com.
    Insisto y se me vuelve a colgar

    ¡A la mierda!

    5 de mayo de 2008
  16. Don

    En mi caso…

    Al intentar coger 3 butacas para un estreno, accedo a la compra de entradas atraves del servicio que fuese (quizas el mismo).
    La verdad poco importa cual es, pues tampoco me importa si lo solucionan o no.
    Por ser de los primeros en hacer la reserva puedo elegir el 95% de las butacas de la sala.

    Al intentar seleccionar la butaca que yo deseaba, un fallo en la pagina, me impide seleccionar exactamente las que yo queria y me selecciona por defecto unas que yo no queria.

    Vuelvo sobre mis pasos, e intento seleccionar otra vez empezando desde el principio, al llegar al punto en el que puedo elegir sitio, observo que tampoco me deja elegir, y que el programa las selecciona por mi otra vez, en ese momento me doy cuenta de que las butacas anteriormente seleccionadas por el programa estan ocupadas ¿¿Por mi??

    En ese momento me doy cuenta del fallo y tras otro intento mas con identicas consecuencias, decido aprovechar este fallo que me impide seleccionar las que yo quiero, y a la vez marcar como vendidas las butacas que me estaban ofreciendo anteriormente.

    Decido repetir todos los paso 15 veces mas o menos (ahora no recuerdo exactamente los detalles), hasta que el sistema selecciono las butacas que yo queria, acepte la compra y las pague.

    Desconozco si el problema se soluciono, pero yo solo pague 3 entradas, y en el momento del visionado de la pelicula, las butacas con las que yo habia «jugado» estaban casi todas vacias (15×3=45 asientos ) calcule que 20 estaban vacias.

    Realizar estas operaciones me costo muchisimo tiempo, pues cada vez tenia que empezar desde el principio, y el tiempo que ellos marcaban de respeto antes de quitar la seleccion excedia con mucho del que ellos indicaban.

    Moraleja:
    Yo consegui mis entradas en el sitio que queria.
    Ellos perdieron la venta de muchas de las butacas que yo iba marcando como ocupadas, pero que no compraba.

    Si no lo quieren arreglar es su problema, no me dan ninguna pena… aunque me cague en todo lo cagable por la perdida de tiempo que padeci.

    Si me vuelve a ocurrir, hare exactamente lo mismo, pero intentando ocupar el maximo de butacas, aunque me revienten las tripas delante del ordenador, ya que vi la pelicula muy muy tranquilo.

    Y todo de forma legal, pues yo solo queria ejercer mi derecho a seleccionar las butacas a mi eleccion, pues para ello me cobran mas.

    4 de junio de 2008
  17. eresunlammer

    Eso no es ningún fallo de seguridad. Naturalmente que el sistema te permite reservar las entradas durante unos minutos mientras acabas la compra. ¿Que hay de malo en eso? ¿Cuantas veces has visto salas bloqueadas? ¿Crees que hay algún imbécil que se las da de hacker ocupando las salas y diciendo que hay un fallo de seguridad?

    Si nos ponemos de acuerdo para circular por la misma calle a la misma hora no permitiremos a nadie circular. ¿crees que esto es un fallo de seguridad?

    Si todos hacemos reservas falsas en un restaurante a la misma hora nadie podrá cenar. ¿Es eso un fallo de seguridad?

    Dedícate a algo más útil que a reportar situaciones obvias en la web diciendo que son fallos de seguridad!

    Saludos

    6 de noviembre de 2010