Resulta que estaba chequeando uno de mis correos y me doy con un mensaje de una reserva en un hotel. Lo primero que pensé fue que se trataba de alguna estafa, SPAM o algo por el estilo, pero al mirar bien y chequear un par de cosas me di cuenta que era una confirmación de una reserva hotelera real.

Error Reserva Hotel

En dicha reserva estaban los datos de contacto de quien la realizo (Karla A.), entre ellos un numero telefónico. Como no tenía nada mejor que hacer este sábado decidí llamarla y avisarle de lo sucedido, si estaba muy al vicio 😛 . Que mejor oportunidad que esta para probar bien el servicio de Jajah, por lo que procedí a hacer la llamada y vía Jajah. El proceso es simple, vía web uno puede conectar dos números a través de este servicio, solo tuve que colocar el numero de teléfono de Karla presionar el botón «Call» y esperar a que sonara mi teléfono. En el momento en el que atiendo Jajah conecta a la otra persona por lo que en menos de 10 segundos estaba hablando con ella y contándole lo que había sucedido.

Tengo que confesar que fue muy raro y a la vez divertido, imagínense vivir en USA y recibir una llamada desde Sudamérica informándote algo como esto. Al final todo a causa de que Karla mezclo mentalmente el correo de su trabajo con el de su proveedor de Internet terminando así su reserva en una cuenta mía de Gmail. Esta fue mi buena acción del día 😛 y solo me costó USD 0.70, pulgares arriba para Jajah y el excelente servicio que brindan.

Jajah Call

Claro inseguro

Estaba leyendo mis feeds y entre ellos me encontré con un artículo de Cristian en el blog de Segu-Info, en el que demuestra lo fácil que un extraño puede acceder a los datos de un usuario determinado que haya hecho la reserva en línea de un IPhone vía Claro Argentina.

La discusión también se dio en el foro en donde uno de los participantes (abogado él) dijo que ya había hecho la denuncia en la DNPDP (Dirección Nacional de Protección de Datos Personales).

Bien, el problema en si está en que un usuario que hace la reserva del producto luego puede consultar sus datos ingresando solamente su dirección de correo, muchos dirán «eso no tiene nada de malo», y tal vez tengan razón, pero este no es el caso, en el pedido uno debe colocar datos MUY personales como lo son la fecha de nacimiento, documento de identidad, dirección, teléfonos, etc. Con saber el correo de una persona basta para obtener todos sus datos personales si este realizo una reserva del IPhone en Claro Argentina.

Dejemos algo en claro (ja!), esto no es una vulnerabilidad es solo un error de diseño que podría llegar a ser aprovechado por alguien con fines maliciosos.
Leer más →