Datos de clientes de Aguas Andinas expuestos por un tercero

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Datos de clientes de Aguas Andinas expuestos por un tercero" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Hace unos minutos me llegó un correo promocional de Aguas Andinas, invitandome a cambiarme a Boleta Electrónica.

 

unnamed

El correo fue enviado desde la cuenta “Aguas Andinas” <ventasti@mailpromo.cl>. Todo indica que Aguas Andinas le entregó la base de datos a esta empresa de spam mailing. El problema es que una vez mas los proveedores de este tipo de servicios no cumplen con las normas minimas de seguridad y violan la privacidad de los usuarios. En este caso, todo indica que Aguas Andinas no exige seguridad a sus clientes y le entrega la información de nosotros a cualquiera.

La imagen trae un link que nos lleva al formulario de inscripción

andinasfail

El problema es que el enlace que nos lleva a ese formulario permite acceder a información de otros usuarios.
Por ejemplo accediendo a https://www.mailpromo.cl/Aguas_Andinas@AguasAndinas.html/FERNANDO.LAGOS es posible acceder a mi perfil y si modificamos FERNANDO.LAGOS por otro nombre aleatorio, por ejemplo FERNANDO.LOBOS, FRANCISCA.SAAVEDRA, ANTONIO.GALLARDO, etc y asi con nombres y apellidos aleatorios, el sistema nos va entregando la información de todos!

Este es una falla de seguridad crítica ya que expone los datos de todos los clientes. Los responsables de administrar correctamente el acceso a esta información es la empresa que está detras de mailpromo.cl y la empresa Aguas Andinas debe obligar a que estos datos sean debidamente tratados.

Lo más ironico de todo es que el mensaje dice “de forma segura!“.

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Datos de clientes de Aguas Andinas expuestos por un tercero" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

3 comentarios

  1. Ya parece un estandar , alguien puede nombrar una y tan solo una empresa privada o entidad publica que proteja la información sensible de las personas?
    Y encima tienen el descaro de usar frases tan trilladas como: “Enviado de forma segura” o “Comprometidos con la seguridad”.

  2. Nuestros datos ya no están seguros.

Los comentarios están cerrados.