Asociación de Internautas

Logo 1

Polémica por fallo de seguridad en Ya.com que permitiría ver datos de clientes


Un error en Ya.com habría provocado que los usuarios de este proveedor hayan tenido acceso a los datos personales de miles de clientes de esta empresa. Realizando un sencillo truco, cualquiera de ellos tenía acceso al número de teléfono, dirección y Documento Nacional de Identidad de otros clientes de Ya.com. Sin embargo, según fuentes de la empresa, de momento no tienen constancia del fallo denunciado en bandaancha.st


(Libertad Digital) .- Los usuarios de los servicios de esta compañía disponen de un sistema que permite consultar sus facturas en línea, accesible mediante usuario y contraseña. El acceso al mismo se realiza por medio de una URL a la que se envía como parámetro el número de la factura. Según se publica en bandaancha.st, con cambiar el número de factura en la URL, se tenía acceso a todos los datos de la misma, con tanta facilidad como se accedía a los datos propios. Este tipo de error suele deberse a una comprobación insuficiente de los datos de acceso; es probable que la aplicación de Ya.com se conformara con saber que el usuario estaba autorizado para acceder a la gestión de facturas, sin molestarse en averiguar que la factura mostrada correspondía al usuario que intentaba verla.

El usuario que ha encontrado la vulnerabilidad dice haberse visto obligado a publicarla porque así se aseguraba una corrección del problema más rápida, pues la Agencia de Protección de Datos obliga a enviar por correo ordinario cualquier denuncia. A estas horas, el servicio afectado está desactivado.

Según la Ley, se considera infracción grave (penada con una multa de hasta 300.000 euros) la vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.