Autor: Lic. Cristian F. Borghello
La irresponsabilidad, negligencia, desidia, falta de educación y los objetivos comerciales exagerados son los principales motivos por los cuales empresas, desarrolladores, administradores y usuarios se ven perjudicados al cometer errores comunes.
Esta semana diversos usuarios nos informaron de un problema en el manejo de los datos privados en la empresa de telefonía celular Claro [1].
El error se debía [2] al diseño y a la programación del sitio web que permite a los usuarios su registro para solicitar el iPhone (en este momento en mantenimiento) [3]. Es decir que no se trataba de una vulnerabilidad sino de errores de diseño (principalmente) y programación que permitía a cualquier persona acceder a datos privados de otra.
Aunque pueda parecer extraño que una compañía de estas características presente un error tan grave, esta situación es normal cuando existen prisas comerciales y de marketing que obligan al departamento de desarrollo (¿y de seguridad?) a publicar aplicaciones sin las medidas de seguridad adecuadas, incluso cuando ellas violan la leyes de Protección de Datos Personales [4].
Luego de intentar comunicarnos por correo utilizando las direcciones comunes de contacto para estas situaciones (webmaster, admin, suporte, abuse, etc.), enviamos un correo a la persona responsable de Relaciones Públicas, encargada de lanzar al mercado la nota de prensa informando sobre el lanzamiento de iPhone en Argentina [5].
Segu-Info no ha recibido hasta el momento (30-08-2008 13:00 hs) ninguna respuesta a los correos enviados. Al no recibir respuesta, establecimos contacto con una persona del departamento de desarrollo de la empresa, quien prefiere mantenerse en el anonimato.
Esta comunicación permitió que la página original sea colocada en mantenimiento mostrando el mensaje "Momentaneamente interrumpido..." [3]. Es importante remarcar que esta comunicación fue en un solo sentido ya que nunca se recibió respuesta oficial desde la empresa.
Este caso demuestra irresponsabilidad de una empresa multinacional para manejar datos privados, aún cuando ellos están protegidos por la legislación. También demuestra el poder del marketing y de la necesidad de comercializar productos a cualquier costo, en un mercado globalizado donde "llegar primero" es la frase de cabecera.
Ahora bien, más allá de este caso quiero detenerme en la responsabilidad social de cada usuario al momento de encontrar estos casos (muy comunes por otro lado).
Las vulnerabilidades y errores en sitios web son normales y la mayoría de ellos no son difíciles de hallar, incluso sin quererlo y haciendo algo tan sencillo como colocar caracteres inválidos en un campo de búsqueda.
La ética y la responsabilidad del usuario indicaría que estos casos deberían ser informados a la brevedad y con los detalles suficientes para que el responsable de la aplicación solucione el problema y minimice el impacto en su sitio y a sus usuarios.
Suponiendo que la desidia (y las experiencias negativas anteriores) no venzan y se decida reportar el caso, al intentar hacerlo se encuentran ciertos problemas, a saber:
Como podemos ver la mayoría de las experiencias suelen ser negativas y pueden, incluso, perjudicar al informante o al desarrollador del sitio de alguna manera. Ante esta perspectiva puede entenderse porqué tan pocas personas reportan errores y vulnerabilidades en sitios web.No se considera en estos casos a las personas malintencionadas que encuentran una vulnerabilidad y la aprovechan para beneficio propio.
Para finalizar, una pequeña guía para reportar errores y vulnerabilidades:
Irónicamente, la responsabilidad social es algo que no abunda en la era en donde las redes sociales se han convertido en el juguete preferido de millones de internautas.
Quizás analizando los casos en donde la irresponsabilidad de una organización puede afectar nuestra vida, nos demos cuenta que nosotros también podemos ayudar a resolver parte del problema.
[1] CLARO: Divulgación de datos personales
http://www.segu-info.com.ar/foro/?q=claro
[2] Claro, regala tus datos personales
http://seguinfo.blogspot.com/2008/08/claro-regala-tus-datos-personales.html
[3] Reserva el iPhone en Claro
http://www.claro.com.ar/iphonereservas/
[4] CLARO: Divulgación de datos personales
http://www.segu-info.com.ar/legislacion
[5] Claro trae el nuevo IPHONE 3G a Argentina
http://www.claro.com.ar/instituc/noticias/claro_trae_iphone.html
[6] Video de Angelina Jolie desnuda
http://blogs.eset-la.com/2008/07/30/angelina-jolie-invade-correo/
[7] Respuesta de sitios web
http://blogs.eset-la.com/laboratorio/2008/08/01/perfiles-falsos-hi5-utilizados-para-publicidad/
http://blogs.eset-la.com/laboratorio/2008/05/06/sitios-conocidos-promocionar-viagra/
http://blogs.eset-la.com/laboratorio/2008/03/14/respuesta-unicef-eset/
[8] Casos famosos hallados
http://seguinfo.blogspot.com/2008/08/habl-kaminsky-en-black-hat.html
http://seguinfo.blogspot.com/2008/08/vulnerabilidad-en-bgp-otra-vez-la-misma.html
http://seguinfo.blogspot.com/2008/08/revelado-otro-mayor-agujero-de.html
Buenos Aires, 30 de agosto de 2008