Números de cuentas corrientes, contraseñas, nombres y apellidos, teléfono móvil, 'e-mail', dirección postal… Son los datos privados de visitantes y agencias de viaje que han estado totalmente desprotegidos durante dos años en la web oficial de compra de entradas de la Alhambra, gestionada por un organismo adscrito a la Consejería de Cultura de la Junta de Andalucía.
|
etiquetas: alhambra , entradas , datos , visitantes , descubierto , web
Espero que la AEPD les sacuda pero bien.
PD: Lo de que muchas webs de otros museos de toda Españada mucha tranquilidad
Yo compré las entradas de la Alhambra online y me estoy preguntando para que me pidieron mi DNI y mi dirección para comprar una triste entrada.
Alucino que una empresa del tamaño de Hiberus que se dedica a vender tecnología y sistemas de venta online de este nivel cometa estos fallos de seguridad: SQLinjection, Variables de entrada de usuario sin chequear, datos del backend de transacciones historicas y documentos internos accesibles desde la web, sin sistemas de seguridad antiataques, sin auditorías de código.
Tanta culpa tienen los de Hiberus IACPos (ahora mismo sus webs están caidas www.hiberus.com/iacpos/ , algo tendrán que ocultar, por ejemplo el listado de cientos de webs públicas que usan este software y que seguramente tambien sean vulnerables y estén sin parchear), como los que contratan alegremente estos productos millonarios sin una mínima auditoría de seguridad o un compromisos de actualización de parches (y si lo tienen contratado igual deberían inpugnarlo).
Veremos si la LODP/GDPR sirve al algo.
Por cosas así se me quitan las ganas de hacer compras/registrasme en webs, comprar vuelos,hoteles. En cuantos miles de web ocurrirá lo mismo sin que nos enteremos. Está bien que estas noticias se sepan para concienciar.
Luego lloraremos porque la gente solo se fia de comprar en Amazon.
Y además, no, no lo dijo ella, como suele suceder con este tipo de frases. Por ahí dicen que se la inventó el padre Juan Velázquez de Echeverría en el siglo XVIII, con el objetivo de desacreditar la figura de Boabdil, en esta obra:
www.bibliotecavirtualdeandalucia.es/catalogo/es/consulta/registro.cmd?
Y por cierto, de la frasecita inventada hace ya más de dos siglos, igual está un poco caduca a estas alturas...
Lo normal es que no te dejen pasar una vez pasada tu hora, el personal tiene orden de no hacerlo, así que quien te dejó hacerlo se saltó las normas (ojo, que me parece bien, creo que es una norma que hay que aplicar con flexibilidad, de hecho cada vez que un guiri me preguntaba por el acceso a palacios con hora pasada le decía que lo intentará en cualquier caso, porque los trabajadores de la puerta saben si está o no muy saturado el recorrido y "pueden" aplicar manga ancha).
Hace ya años ya montaron una buena con el estreno del e-commerce de Interflora
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_IM_UNDERPAYED};
SELECT * FROM EVENTS WHERE NAME = ${RAW_USER_INPUT_BECAUSE_FOR_THE_LULZ};
Y luego ya lo de seguir retorciendo la argumentación y el lenguaje para embestir y que no se note la ignorancia supina es más de lo mismo. Piensa el ladrón que todos cojean del mismo inmaduro pie y va a ser que no.
(
Generalizar habría sido afirmar "si llegas tarde no te dejan entrar y no de devuelven el dinero", pero he dicho que YO pagué y A MI no me dejaron entrar.
Que te dejaran entrar a ti, o a todo el mundo menos a mi, me suda la polla, se quedaron mi dinero sin ofrecerme el servicio, y no querían ni cambiarme el día, por mi como si se derrumba en un terremoto.