Claro, regala tus datos personales
Varios usuarios nos han informado de un mal (por decir algo) diseño e implementación de una página de la empresa Claro, la cual es utilizada para realizar reservas de iPhone.
En la misma (desarrollada en Flash) se solicitan nuestros datos personales para realizar la reserva del aparato, incluído por supuesto nuestro nombre de usuario y contraseña:
Luego de ingresados, el alta ya se encuentra realizada y nuestros datos almacenados en forma "segura".
Para verificar esto último intentamos ingresar nuevamente para verificar que todo haya sido grabado correctamente, para cual se solicita... el correo electrónico!!!
¿Y el usuarios y la contraseña?
Pero eso no sería nada comparado con lo que sigue: ingresado un correo válido y si el mismo está registrado, se visualizan los datos personales ingresados anteriormente:
Es decir que con sólo contar con el correo de una persona, es posible obtener todos sus datos personales.
Además, y para nuestro tranquilidad Claro dice:
Todo debe ser "claro" y seguro para el usuario. Gracias!
Actualización 11.45: he enviado un correo a la persona que realizó el anuncio de iPhone en Argentina. Veamos que sucede.
Actualización 16.15: luego de reportado dos veces a distintas personas de la empresa, aún no tengo novedades.
Actualización 16.35: en este momento si se intenta registrar (o el login) un usuario el sistema devuelve error 404 en las páginas internas (no así la película Flash).
Actualización 16.40: en este momento el servicio informa "Momentaneamente interrumpido...".
Actualización 16.45: según me han comentado (no por correo) se tomaron bien nuestro informe y fue a partir del mismo que se suspendió el servicio.
Actualización 18.00: la promoción de iPhone gratuito en un sitio que simulando a Claro no tiene nada que ver con este problema.
Actualización 21.00: gracias a los sitios que se hicieron eco de la noticia.
Actualización 28/08/2008 - 12.00: el servicio sigue suspendido y si bien el error fue garrafal hay que reconocer la velocidad para suspender el servicio. Veremos que sucede cuando vuelva a estar disponible.
Actualización 30/08/2008 - 16.00: publicamos un Boletín al respecto Informar vulnerabilidades como parte de la responsabilidad social.
Cristian
En la misma (desarrollada en Flash) se solicitan nuestros datos personales para realizar la reserva del aparato, incluído por supuesto nuestro nombre de usuario y contraseña:
Luego de ingresados, el alta ya se encuentra realizada y nuestros datos almacenados en forma "segura".Para verificar esto último intentamos ingresar nuevamente para verificar que todo haya sido grabado correctamente, para cual se solicita... el correo electrónico!!!
¿Y el usuarios y la contraseña?Pero eso no sería nada comparado con lo que sigue: ingresado un correo válido y si el mismo está registrado, se visualizan los datos personales ingresados anteriormente:
Es decir que con sólo contar con el correo de una persona, es posible obtener todos sus datos personales.Además, y para nuestro tranquilidad Claro dice:
Todo debe ser "claro" y seguro para el usuario. Gracias!Actualización 11.45: he enviado un correo a la persona que realizó el anuncio de iPhone en Argentina. Veamos que sucede.
Actualización 16.15: luego de reportado dos veces a distintas personas de la empresa, aún no tengo novedades.
Actualización 16.35: en este momento si se intenta registrar (o el login) un usuario el sistema devuelve error 404 en las páginas internas (no así la película Flash).
Actualización 16.40: en este momento el servicio informa "Momentaneamente interrumpido...".
Actualización 16.45: según me han comentado (no por correo) se tomaron bien nuestro informe y fue a partir del mismo que se suspendió el servicio.Actualización 18.00: la promoción de iPhone gratuito en un sitio que simulando a Claro no tiene nada que ver con este problema.
Actualización 21.00: gracias a los sitios que se hicieron eco de la noticia.
Actualización 28/08/2008 - 12.00: el servicio sigue suspendido y si bien el error fue garrafal hay que reconocer la velocidad para suspender el servicio. Veremos que sucede cuando vuelva a estar disponible.
Actualización 30/08/2008 - 16.00: publicamos un Boletín al respecto Informar vulnerabilidades como parte de la responsabilidad social.
Cristian
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!