¿Por qué digo personales? Bueno, hace unos días un amigo mío me vino con una información de esas que casi prefieres no saber, y le he estado dando bastante vueltas a la cabeza. Se trata de una página web de "una entidad de esas importantes", que tiene por un pequeño fallo tonto, una página accesible públicamente y sin clave, en donde aparecen datos necesarios para entrar en sus servidores y ver la base de datos de todos sus clientes con otros datos de esos "sensibles".
Ahora bien, la entidad a la que me refiero es bastante conocida ¿Qué haríais?
Sinceramente después de hablar mucho con este amigo uno tiene realmente miedo de las repercusiones que pueda haber. Lo primero que a uno se le ocurre es ir de buenas y escribir a esa entidad comunicando que tienen este "pequeño" fallo.
Otra posibilidad (a lo película "Conspiración en la red") es divulgar este contenido a la vez por varios medios de Internet… ¿con qué fin? Me comentaba este amigo que, obviamente, lo "guay" sería sacar benificio de este fallo…. ¿qué querría uno con esto? ¿hacerse famoso? ¿arriesgarías esa fama por la posible represalia (no oficial) que podría tener esa entidad por lo gordo del problema?
Este problema sin duda es de esos que la APD (Agencia de Protección de Datos) castigaría con multas inimaginables. Yo como profesional, sinceramente, es el fallo con diferencia más impresionante que he visto y supera en millones de veces a cualquiera que haya vivido (incluído el famoso que yo mismo publiqué de Serviticket).
Por otra parte, también comentaba mi amigo, a uno le puede salir esa "ira de usuario cabreado" y pensar que poco se merecen empresas como esas el conocer estas cosas y que se les podría fastidiar con estas cosas. Un abogado con el que hablé después me comentó que el mero hecho de difundir esta información públicamente donde sea es delito por difusión e incitación de otros posibles peor-pensados.
La última solución que se nos ocurrió es presentar directamente una denuncia a la APD y que ella hiciera lo que buenamente quisiera, aun así, hacerla anónimamente por posibles agujeros y represalias futuras.
Os aseguro que la entidad es importante, muy importante, y los datos muy sensibles… ¿qué haríais? (pide mi amigo como consejo) :D
P.D. Que conste que lo de "mi amigo" es verdad, no lo cuento como la típica historia de "tengo un amigo que tiene un problema sexual" y luego es uno mismo :D :D
Ir a la APD, ya que si se lo comentas a ellos directamente puede que lo arreglen o puede que no, pero si les viene una sanción (aunque sea administrativa) les duele y tendrán mucho mas cuidado la próxima vez, ya que piensa que podría ser tu banco y no te haría gracia.
En cuanto a lo de difundirlo o aprovecharse, no lo veo.
4 de junio de 2008Ir a la entidad y decirles que eres un súper experto en seguridad informática y que lo puedes demostrar y que te contraten -por mucho dinero- para solucionar su problema.
4 de junio de 2008Ja ja, infórmenlo de la manera mas anónima posible y olvídense del tema, aunque por el simple hecho de haberlo publicado ya están expuestos…
Apoyo la dcisión de kainita, me parece lo más sensato.
4 de junio de 2008Si, creo que la denuncia a la APD sería una buena opcion.
4 de junio de 2008Otro voto por la denuncia.
4 de junio de 2008Los datos no son del banco, sino de los clientes que se los confiamos creyendo que son profesionales…en el fondo, con la denuncia haces un favor a los clientes del banco.
Tanto difundir como aprovechar esos datos, es delito, yo ni me lo pensaba.
Denuncialo, no hay duda.
Aunque si estas lanzando la pregunta, asumo que ya has decidido denunciar.
4 de junio de 2008No es lo mismo el caso de las entradas, con este que cuentas.
Joder, escribe a la entidad, y diles que por X dinero les dices el fallo y se lo arreglas, no?
5 de junio de 2008Yo iría a la entidad y se lo diría, después de haber pasado por un notario amigo que levante acta de cómo se puede acceder al agujero que se han dejado.
5 de junio de 2008En cuanto a lo de que revelarlo pueda ser delito, supongo que tu amigo abogado lo ve como descubrimiento y revelación de secretos, siendo de aplicación el art 197 del código penal español. No tengo claro que se cumpla el tipo penal, al ser el sujeto pasivo un banco y no una persona física cuyos secretos se revelen. En cualquier caso, antes de hacer nada mejor mirarlo bien.
Y, con la garantía del acta notarial y de saber si revelarlo supone o no delito, llamaría al responsable de sistemas del banco para que fuera preparando una bandeja de plata ;)
Yo no iria a la entidad, iria a la APD para que multasen a la entidad puesto que la entidad seguramente gane bastante con el dinero de los usuarios como para tener un buen sistema de seguridad que evitase algún riesgo para sus clientes.
5 de junio de 2008El denunciarlo de forma anonima o no, no le veo importancia es la APD
Denunciar sin duda, cosas así no se pueden permitir, porque tu amigo lo ha descubierto y no lo ha utilizado a su favor, pero quien sabe si otra persona puede empezar a vaciar cuentas…
5 de junio de 2008Yo iría a la APD e informaría del caso. No cre que sea necesario hacerlo de forma anónima aunque si no te fías y tienes esa posibilidad hazlo.
5 de junio de 2008Depende de la entidad, o bien les hubiera enviado un correo o bien les hubiera puesto directamente la denuncia.
Y lo de hacerlo público… el abogado sabe mejor…
5 de junio de 2008