Polémica por fallo de seguridad en Ya.com que permitirÃa ver datos de clientes
Un error en Ya.com habrÃa provocado que los usuarios de este proveedor hayan tenido acceso a los datos personales de miles de clientes de esta empresa. Realizando un sencillo truco, cualquiera de ellos tenÃa acceso al número de teléfono, dirección y Documento Nacional de Identidad de otros clientes de Ya.com. Sin embargo, según fuentes de la empresa, de momento no tienen constancia del fallo denunciado en bandaancha.st
(Libertad Digital) .- Los usuarios de los servicios de esta compañÃa disponen de un sistema que permite consultar sus facturas en lÃnea, accesible mediante usuario y contraseña. El acceso al mismo se realiza por medio de una URL a la que se envÃa como parámetro el número de la factura. Según se publica en bandaancha.st, con cambiar el número de factura en la URL, se tenÃa acceso a todos los datos de la misma, con tanta facilidad como se accedÃa a los datos propios. Este tipo de error suele deberse a una comprobación insuficiente de los datos de acceso; es probable que la aplicación de Ya.com se conformara con saber que el usuario estaba autorizado para acceder a la gestión de facturas, sin molestarse en averiguar que la factura mostrada correspondÃa al usuario que intentaba verla.
El usuario que ha encontrado la vulnerabilidad dice haberse visto obligado a publicarla porque asà se aseguraba una corrección del problema más rápida, pues la Agencia de Protección de Datos obliga a enviar por correo ordinario cualquier denuncia. A estas horas, el servicio afectado está desactivado.
Según la Ley, se considera infracción grave (penada con una multa de hasta 300.000 euros) la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, asà como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
El usuario que ha encontrado la vulnerabilidad dice haberse visto obligado a publicarla porque asà se aseguraba una corrección del problema más rápida, pues la Agencia de Protección de Datos obliga a enviar por correo ordinario cualquier denuncia. A estas horas, el servicio afectado está desactivado.
Según la Ley, se considera infracción grave (penada con una multa de hasta 300.000 euros) la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, asà como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.