Un grave fallo de seguridad permitió acceder a través de Internet a los datos personales de cientos de ciudadanos que se habían registrado en la Lista Robinson, creada por la Agencia Española de Protección de Datos (AEPD) para aquellos usuarios que no quisiesen recibir información comercial a través de su teléfono móvil, teléfono fijo, correo ordinario o electrónico.
Como podemos leer en Security by Default, una importante vulnerabilidad fue descubierta en la llamada Lista Robinson una medida destinada a aquellos ciudadanos que hartos de recibir spam de cualquier tipo sin haberlo solicitado no fuesen víctimas de estas prácticas de dudosa legalidad. Según se indica desde la citada web, cualquier usuario o empresa pudo haber accedido a datos personales de los inscritos sin necesidad de registrarse como usuario ni como entidad autorizada.
El descubirdor de la falla explica el proceso paso a paso
La web expone el caso de un ciudadano que burló con cierta facilidad la seguridad del sistema para acceder a toda la información de los ciudadanos. Para ello sirvió con consultar el código de la web de la Lista Robinson y modificarlo de una sencilla forma. Esto le permitió acceder a una serie de funcionalidades que en teoría, sólo eran accesibles por parte de una entidad registrada y autorizada para consultar esta lista. De ahí consiguió acceder al programa que utilizan las entidades para consultar los datos y a través de su código fuente logró entrar en el FTP con los datos necesarios para hacerse con los datos privados de los ciudadanos allí registrados.
Según se informa desde la web, las investigaciones de este particular fueron remitidas a la la Federación de Comercio Electrónico y Marketing Directo (FECEMD), quien colaboró con la AEPD en la creación del servicio, y subsanó de forma rápida el problema. Sin embargo, no se sabe desde hace cuánto este fallo de seguridad afecta a un sistema que se creó hace más de un año.
No deja de ser llamativo que un servicio creado para proteger la intimidad de los ciudadanos y que no reciban las en ocasiones insoportables llamadas telefónicas haya sufrido una vulnerabilidad de este tipo. Por ello, es cuanto menos exigible que esta información sea tratada con el máximo cuidado ya que los usuarios han acudido a este registro de forma voluntaria y gratuita para evitar que sus datos caigan en manos de cualquier empresa con fines comerciales e insistencia infinita a la hora de publicitarse.
FUENTE :http://www.adslzone.net/article4803-expuestos-en-internet-los-datos-de-los-ciudadanos-que-se-registraron-para-no-recibir-spam.html