lunes, 3 de diciembre de 2018

Datos Personales de usuarios de CONCILIANET de PROFECO expuestos


datos usuarios concilianet profeco expuestos

Hace unos días realicé una compra por Internet, un escritorio muy barato que necesitaba para mi casa. Pasó más de un mes y el proveedor (si me siguen en Twitter sabrán de quién se trata) no me enviaba el producto a pesar de que se suponía que en 5 días me entregaban, por lo que decidí levantar una queja con la PROFECO (para quienes no son de México, la PROFECO es la institución gubernamental que se encarga de la protección del consumidor).

PROFECO tiene una plataforma en línea llamada CONCILIANET, donde los consumidores podemos levantar quejas contra los proveedores para que la institución nos ayude siendo árbitros en el asunto. Antes de ingresar al portal, te informan que es necesario que tengas escaneados documentos como Identificación Oficial, Facturas, Contratos o Garantías y Cualquier otro documento con el cual se acredite la relación de consumo con el proveedor.


Una vez que ingresé al portal, previo registro al mismo, inicié con el levantamiento de la queja, escribí una breve explicación del problema y subí los documentos requeridos para acreditar mi identidad y la compra de mi escritorio. Después de subir los documentos, el portal me dio un link por cada uno, y ni tardo ni perezoso accedí a ellos para verificar que se hayan subido sin error.

De inmediato me di cuenta de que el link llevaba a una página donde el URL se conformaba por una dirección IP y el nombre del archivo generado por el sistema para mis documentos (http://laipdelservidor/343434.pdf), tras abrirlos todos pude comprobar que los nombres son simplemente números consecutivos.

Curioso cómo se debe ser, empecé a cambiar los números del nombre del archivo y para mi sorpresa pude acceder a la información de otros usuarios (no todos los intentos fueron efectivos, hay muchos nombres que no existen), credenciales de elector, contratos con domicilios, números telefónicos en contratos, números telefónicos y nombres de contactos en los contratos, entre otros documentos.

Me asusté, lo siguiente fue cerrar cesión en el portal de CONCILIANET  para verificar que los datos fueran accesibles sin una sesión abierta, y en efecto lo era, en ese momento me di cuenta de la gravedad del asunto.

Mi siguiente prueba consistió en la generación de direcciones masivas, utilizando una herramienta compleja de generación de urls (nótese mi sarcasmo, lo hice con Excel, al ser solo números consecutivos en el nombre esa herramienta me fue suficiente) creé varias decenas de miles de direcciones, para después ingresarlas en un gestor de descargas.

Lo que buscaba con esta prueba eran dos cosas: La primera, verificar cuanta información podía descargar sin ser detectado y la segunda sentirme como un hacker. Con mi computadora (nada extraordinario) y mi raquítica conexión de internet logré descargar más de 30 mil documentos (ya los borré, solo era un ejercicio de curiosidad) sin que nadie bloqueara mis descargas y dudo incluso que se hallan dado cuenta de que lo estaba haciendo.

He hablado con personas de PROFECO y de INAI (Dependencia del Gobierno que se encarga entre otras cosas, de proteger los Datos Personales de los ciudadanos) en los teléfonos publicados en sus páginas, pero los operadores no están preparados para actuar en un caso como este, lo he estado gritando en Twitter y tampoco he tenido respuesta, no hay canales diseñados para reportar este tipo de cosas, a pesar de ser un grave problema de seguridad para los usuarios de la plataforma.

Si eres usuario de CONCILIANET debes preocuparte, pues cualquier persona tiene acceso a tu información, si puedes reporta y tal vez tengas más suerte que yo, si conoces a alguien que haya usado la plataforma compártele este artículo para que sepan que sus datos están en riesgo.


Hasta aquí la entrada de hoy, si quieren enterarse de lo nuevo en De Tecnología y más me pueden regalar un Me Gusta en el botón de Facebook que te dejo abajo, también pueden seguirme en Twitter como @el_george__ o como @OficialDtym. Gracias por leerme, Soy George Maldonado, hasta la próxima.







No hay comentarios.:

Publicar un comentario