Fuga de datos, y ley de protección de datos

Fuga de datos, y ley de protección de datos: Vlneracion en Norwegian Airlanes

La temida ley de protección de datos, una rigurosa normativa que regula los derechos de los datos de los ciudadanos de la unión europea que se ha convertido en el Reglamento General de protección de datos.

Ha cambiado el funcionamiento de las empresas, que se han debido amoldar a un nuevo espectro, regulación y protocolos que han hecho el día a día un quebradero de cabeza para muchos. Una oportunidad de negocio y trabajo para otros y una nueva fuente de ingresos para las instituciones.

Como peritos informáticos, el RPDG es una parte muy importante de nuestro trabajo, sobre todo porque de su análisis evaluamos si se puede realizar una pericial. Por lo que al trabajar con esa parte directamente y conocer la tecnología en informática y redes estamos en una posición muy buena para detectar fuga de datos personales y una vulneración de los mismos. En concreto de forma trasversal en un análisis forense de una PDA hemos encontrado una fuga de datos en Norwegian Airlines.

Vulneración de datos en Norwegian.com

Los datos de reserva de embarque de los clientes, están almacenados en una base de datos alojada en un servidor. La página se reconstruye en base a una solicitud de dos variables.  En concreto la referencia de la reserva (6 caracteres alfanuméricos) y los apellidos el cliente.

Esas dos variables identifican en la base de datos la reserva y se crea una página especifica que muestra los datos de clientes. Esto significa que la pagina no está creada, si no que se crea en base a una solicitud a una base interna del servidor de la empresa Norwegian.com

En esa pagina hay un link que cuando se pincha crea un pdf que es descargado en el equipo del usuario/cliente que realiza la consulta de sus billetes. ¿Cuál es el problema de seguridad?

Que no hay autentificación para la descarga de dichos datos. Se puede acceder a datos de clientes de forma fortuita y no tan fortuita. La variable de los apellidos es común. Por ejemplo, GARCIARODRIGUEZ; con un diccionario se puede generar las claves, y ya solo hay que probar en la segunda variable mediante algún software de fuerza bruta.

Sin haber probado ningún tipo de ataque (os recordamos que es ilegal en España hacer incluso un escaneo de puertos). No se ha comprobado si la web tiene algún tipo de protección ante ataques de fuerza bruta. Pero, en caso de hacerlo la solución es sencilla.

El programador seguramente pensó que al tener que coincidir dos variables el resultado de mostrar un resultado fortuito es inverosímil. Pero para la protección de datos, hay que intentar ver y llegar más allá.

Respuesta de Norwegian Airlanes ante la comunicación del incidente:

Ante este problema de seguridad, se ha pedido contacto con el departamento legal de Norwegian Airlanes por medio de su contacto de página web y teléfono. Al ser un call center que gestiona las reclamaciones de los usuarios en los vuelos no hemos llegado a pasar el filtro ni a obtener una respuesta. Se ha intentado contactar por medio de LinkedIn sin obtener resultados.

Hay un protocolo de contacto de la compañía para gestionar la reclamación de viajeros.  Una forma muy rígida y poco efectiva para que el reclamante se canse. A los empleados los tienen aleccionados para contestar dentro de un patrón que en ocasiones me da la sensación de estar hablando con un robot sin ánimo de solventar un problema. Pero ese no es el caso. No han sido capaces de darme un contacto con el departamento legal. Quizás a las compañías no les interesa facilitar la gestión de reclamaciones, y sea una estrategia para que el cliente desista ante el agotamiento en resolver un problema. Sea cual sea el caso este artículo no trata de eso.

Un problema similar en telefónica:

El problema de  Norwegian Airlanes de fuga de datos personales es que tienen abiertas sin ningún tipo de autentificación ni protección los datos de clientes, sus reservas y sus vuelos. Algo parecido al incidente de Telefónica, que permitía descargar todas las facturas de sus clientes cuando se había autenticado con un usuario únicamente cambiando los números consecutivos de la dirección  url del navegador. (ver noticia)

Solo que en el caso de Norwegian Airlanes no se necesita autentificación para acceder a estos datos.

Después de haber invertido un tiempo con esta compañía, para gestionar el incidente de seguridad de forma privada y altruista. Y no haber obtenido una respuesta, está claro que tienen varios puntos que arreglar. La seguridad, la formación de sus empleados y su logística en la comunicación.

Problemas en el RPDG entre la administración y la empresa privada.

Las multas son cuantiosas, y la responsabilidad recae en la empresa o, en su defecto el representante legal.  Pero no es lo mismo para la administración que para la empresa privada. Ni en multas ni en responsabilidades derivadas. Se ha impuesto una multa muy grande para las empresas privadas, que llegan entre los 20 Millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior. Y esto es para obligarlas a cumplir con un Reglamento necesario.

Claro que, para las administraciones las normas son las mismas. Pero ni las multas ni las responsabilidades son compartidas. Por tanto, la primera queja de este artículo, es que la administración no se está poniendo las pilas ni hay una igualdad entre la parte privada y la empresa publica. Las sanciones y las responsabilidades deberían ser las mismas, y quizá cuando se empiecen a endurecer las responsabilidades de las sanciones a la administración dejaremos de encontrar papeles en los contenedores con datos personales de multas. O censos completamente abiertos en los ayuntamientos indexados por Google…

Han sido muchos los congresos, charlas, concienciación que se han impartido a empleados, directivos, etc. Y entre abogados y los nuevos profesionales del sector o auditores que pasan por caja.  Y seamos sinceros, cumplir la normativa del RPDG a nivel técnico y de protocolos es un dolor de cabeza, y es normal que se pase algo por alto.

¡¡Sed felices y comed perdices!!