Me Gusta Fumar

Lo llaman Democracia y no lo ES

MeGustaFumar está alojada en Raiola Networks
Hosting SSD

Los artículos serán publicados sin editar

En caso de leer una barbaridad avisarnos y la solucionaremos con la máxima brevedad posibe.

Correspondencia

Contraseñas en texto plano son inaceptables

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Por pereza o por mala fé es bastante común que en algunos foros o Webs de comercio electrónico se almacenen en las bases de datos las contraseñas de los usuarios en texto plano.  Esto ayuda a que sea muy cómodo recuperar la contraseña en caso que se olvide.  Te mandan por correo electrónico la misma contraseña que usaste para registrarte y en un segundo ya estás usando sus servicios de nuevo.  Lo malo es que cualquier administrador y las personas que el administrador decida, tiene acceso a estas contraseñas.  La mayor parte de los usuarios de Internet usa la misma contraseña para todo, desde el correo electrónico al Face Book a cualquier otra cosa.  Un empleado sin escrúpulos puede leer el correo electrónico de su cliente, mandar correos abusivos a los contactos del cliente, escribir mensajes desagradables en su Face Book o hasta cambiar la contraseña del cliente en todas sus aplicaciones de Internet para que pierda su identidad de Internet.  Esto pasó en una empresa en la que trabajaba.  Aquí reproduzco la carta que mandé a la Agencia Española de Protección de Datos.

La carta

Agencia Española de Protección de Datos
C/ Jorge Juan 6
28001 Madrid

Estimado Director,

Me temo que la empresa en la que trabajaba, incumple los requisitos mínimos de protección de datos de una empresa que haga ventas por Internet.

Adjunto un correo electrónico que he impreso tras solicitar a la Web de esta compañía que me recuerde mi contraseña en su sistema.  Como se ve en dicho correo electrónico viene en texto plano la contraseña que introduje en su momento al darme de alta en su web.  Esto es un posible uso incorrecto de datos privados.

Si el sistema de recuperación de contraseñas tiene acceso a la contraseña original que metí en su momento en su sistema, es posible dar acceso a los datos de contraseña de cualquier persona que se haya registrado esta empresa a cualquier empleado que la dirección de la empresa decida que ha de tener acceso a dicha contraseña.

La mayor parte de los usuarios tiene escasos conocimientos de seguridad.  Es habitual que la mayor parte de los usuarios de Internet utilicen la misma contraseña para todo.  Debido a sus ignorancia en los mínimos conocimientos de seguridad informática la mayor parte de los usuarios de Internet no saben proteger su identidad en Internet.  Es habitual que un usuario utilice la misma contraseña para su correo electrónico, para su Facebook, para cualquier foro en el que participen y para cualquier empresa de comercio electrónico en que se registren.  La contraseña que usan para todo es el punto de entrada a su identidad de Internet en su totalidad.  Esta contraseña global está disponible para cualquier empleado de mi antigua compañía que la dirección de la empresa decida que ha de tener acceso a dicha información, ya que en el sistema informático de esta empresa, como se ve en el correo electrónico que he adjunto, las contraseñas están almacenadas en texto plano.

El que sea posible que los trabajadores de esta empresa tengan acceso a lo que para la mayor parte de sus clientes es su contraseña global, hace muy posible abusos por parte de dichos empleados.  Digamos que un empleado vea que esa antigua novia que odia es cliente.  Con la contraseña que hay en el sistema este empleado rencoroso puede robarle su identidad de Internet.  Tendrá la posibilidad de escribir correos abusivos a la lista de direcciones completa de dicha persona.  Puede escribir mensajes abusivos en su Facebook.  Tendrá la posibilidad de cambiar la contraseña a este cliente en todos los foros en que está registrada.  Existe la posibilidad de que un empleado se vengue de un cliente que haya conocido en su vida anterior robando su identidad de Internet.

Fui testigo de un claro abuso de la confidencialidad de un cliente.  Yo fui desarrollador entre diciembre del 2006 y diciembre de 2008.  En 2008 realizaba entre otras cosas mejoras en el sistema de detección de fraudes.  En una reunión con el responsable del departamento de fraudes fui testigo de como esta persona, con la contraseña y dirección de correo electrónico de un cliente que estaban almacenados en el sistema, que sospechaba que había  hecho una reserva fraudulenta, se conectó a la cuenta de hotmail del cliente y leyó todo su correo electrónico:  Quería evitar pérdidas a la empresa.

Ninguna empresa de Internet tiene derecho a almacenar las contraseñas de sus clientes en texto plano.  El que así lo hagan abre la posibilidad de los trabajadores de estas empresas de leer las conversaciones personales de los clientes por correo electrónico accediendo a su cuenta.  Además habrá casos en los que alguno de los empleados de estas empresas haga un robo de identidad de Internet completo de un cliente por motivos de venganza.

Sin otro particular, se despide afectuosamente

Batiscafo

Adicional

Te preocupa que te roben tu identidad de Internet?  Usas la misma contraseña para todo?  Va lento tu ordenador?

Escribir un comentario


Código de seguridad
Refescar

Directiva de Cookies