En estos días he encontrado una vulnerabilidad en un sitio de una importante empresa nacional y, como siempre hacemos desde Segu-Info, he procedido a informar la misma a través del formulario de contacto de la compañía.

La “curiosidad” del caso es que, como desde el sitio se puede acceder a la información (sensible) de la empresa (precios, ofertas, descuentos, promociones, teléfonos internos, empleados, nombres de usuarios, horarios de trabajo, cámaras de vigilancia, etc.) luego de dejar mi comentario, el mismo ya se podía ver junto a todos los demás usuarios que se habían comunicado con la empresa:

Casos como estos son abundantes en todo el mundo pero, si bien puede sonar inocente, cuando se encuentran y se reportan las empresas siguen manteniéndolos sin corrección, basados en la confianza de que “si hasta ahora no pasó nada, por qué debería suceder ahora que sabemos del error”.
Además también llama la atención la cantidad de vulnerabilidades encontradas en un mismo sitio y que todas ellas pertenezcan, generalmente, al mismo tipo, ampliamente conocidas y para los cuales existen sencillas soluciones.

Una vez más sólo se me ocurren dos respuestas para esta triste situación: la primera es la inocencia que existe con respecto a la necesidad de conocimiento en seguridad y, la otra, el alto nivel de negligencia. Estos dos puntos,podría hace suponer que las empresas no tienen incorporado el Due Diligence y Due-Care como parte de su estrategia de negocio y cuando el mismo se encuentra expuesto a Internet.

Nota:  la empresa ya se ha puesto en contacto informándome que solucionarán el problema.

Cristian de la Redacción de Segu-Info