Vulnerabilidades corregidas en Lista Robinson.es

Vulnerabilidades corregidas en Lista Robinson.es

Hace año y medio, en junio de 2009, la Agencia Española de Protección de Datos (AEPD) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD), que recientemente cambió su nombre a “adigital”, presentaron en Madrid el servicio conocido como “Lista Robinson”, en el que los ciudadanos, según se dijo en la nota informativa de la AEPD, «pueden inscribirse para evitar recibir comunicaciones comerciales, mediante llamadas, sms, correo postal y correo electrónico, de empresas con las que no mantenga o no haya mantenido algún tipo de relación». Desde entonces, las entidades autorizadas y registradas al efecto pueden acceder a los datos del fichero previo pago por ese derecho.

 

Sin embargo, recientemente ha sido demostrada por parte de un colaborador anónimo del famoso blog SecurityByDefault la vulnerabilidad de la web del servicio, www.listarobinson.es, y la accesibilidad a los datos de la Lista Robinson sin ser entidad autorizada, y sin haberse registrado siquiera como usuario en dicha web. Especifican los miembros de SecurityByDefault que “el artículo, según su autor, pretende ser meramente constructivo y formativo, para evitar caer de nuevo en este tipo de vulnerabilidades referentes a la seguridad en aplicaciones web”. Destaca el hecho de que el usuario que reportó la vulnerabilidad pudo acceder a los datos de nombre, apellidos, teléfono, correo electrónico, dirección, documento de identificación aportado (DNI/NIF/pasaporte) y hasta la fecha de alta y la clave de registro en la Lista -con la que seguramente alguien podría sacar al ciudadano de la Lista y enviarle comunicaciones…-. El mismo blog ha notificado a adigital estas graves vulnerabilidades en la protección de los datos de quienes cuentan con un servicio que pretende todo lo contrario, el control de la protección e inaccesibilidad a esos datos. Por su parte, informa SecurityByDefault que adigital respondió y actuó en cuestión de horas para subsanar las deficiencias de la web y por tanto del servicio.

 

Por tanto, aun cuando este fallo de seguridad afecta al sistema al menos desde que se actualizó la web del servicio, es de esperar que en adelante adigital incremente la alerta y las medidas de control y verificación adecuadas para el mantenimiento con el máximo cuidado de un fichero de tal importancia, y cuyo mensaje clave para el ciudadano es la confianza en el sistema: “Si te registras, nadie más te molestará por teléfono, correo postal…«.

María Teresa Nevado

 

Fuente: www.securitybydefault.es

 

Áudea, Seguridad de la Información

www.audea.com