Ticketek, y como no hacer las cosas

Escrito el 28 abril 2009, 12:20am en Privacidad ,Seguridad

Tagged with: , , , ,

Pongámoslo así; un amigo compra entradas vía Ticketek para ir al recital de The Doors pero medio a último momento la fecha del mismo es cambiada para más adelante. La empresa luego da aviso a los que adquirieron la entrada por Internet de la siguiente manera:

Ticketek
Clic en la imagen para ver en grande.

Los destinatarios fueron incluidos todos en el campo “para” del correo, pudiendo uno ver quien más había adquirido la entrada. Podríamos decir que nuestra privacidad se va por el caño.

Analizando un poco el escenario, contamos con un pequeño listado de correos de individuos que ya han perdido el miedo a colocar sus datos personales (incluyendo tarjeta de crédito) en Internet, seguramente no será esta su primera compra y no tendrá problemas en volver a hacerlo. ¿Que sucedería si fuésemos un poco mas maliciosos?, un usuario inescrupuloso podría tomar este pequeño listado de correos y realizar un ataque de phishing, enviando un mensaje promocionando algún tipo de remuneración o devolución de un porcentaje del valor de la entrada por la molestia causada, previamente confirmar los datos de la compra (un pequeño formulario pidiendo datos personales y tarjeta de crédito); más de uno caería en la trampa. Y no necesariamente tiene que utilizarse un dominio ajeno a la empresa para esto…

ticketek-xss-small
Clic en la imagen para ver en grande.

Esta entrada no tiene como objetivo difamar a Ticketek, solamente quería mostrar que no hacen faltan grandes errores para encontrarle la vuelta maliciosa al tema, solo pequeños descuidos.

Comentarios (2)

  1. martinalejandro — abril 28, 2009 a las 12:56 am

    Y despues quieren que compremos “seguros” por internet. Posta que esto es cualquiera, y agradezco la informacion. No deberia ser tomado de ninguna manera como una difamacion a dicha empresa, sino como alguien que decidio informar a la comunidad, que estaba operando con un sistema muy inseguro (tanto que es un juego de niños cargar una pagina dentro de ellos mismos, ni que imaginar para alguien que sabe algo de hacking).

    Muy buen articulo, sencillo, breve, consciso.

    Saludos cordiales.

Los comentarios están cerrados para este artículo.