logo
CHW 10/02/2011

Usuario descubre vulnerabilidad en sitio de Nintendo, se va demandado

Las “gracias” en el país vasco

El otro día fui a comprar pan a la panadería de siempre, y para sorpresa en el camino me encontré con un pan botado en el suelo. Como soy de buenas intenciones, lo recogí y le avisé al cajero, quien me dio las gracias. Exactamente lo contrario le pasó a un usuario español, el cual tuvo que pagar por el pan: GUA TA FAC.

Sucede que la compañía 8media decidió crear una página para Nintendo llamada Prueba y Verás, con el objetivo de reservar la Nintendo 3DS por medio del ingreso de información personal. Nada mal ahí, hasta que el usuario del famoso sitio El Otro Lado, adan_gecko, afirmó:

8media le hicieron a Nintendo una página de reservas tan chapucera que sin meter usuario ni contraseña permitía ver, modificar y descargarse los datos personales de cualquier suscrito a la campaña.

Dicho y hecho, contó cómo acceder: sólo hay que cambiar en la URL el “www” por “admin” para quedar con “admin.pruebayveras.com“. Sin concursos no sorteos, tenías (verbo pasado, porque ya cerraron preventivamente la preventa) acceso a toda la información.

Posteriormente, adan_gecko decidió avisarle a la compañía y cooperar, pero antes que moviese un dedo, Nintendo se lo tomó como un intento de extorsión y tomó acciones legales contra su persona. Luego de estar “detenido” un rato, contó su versión de los hechos, donde es acusado de “Revelación de Secretos” y “Amenazas”, en conjunto con “todo tipo de imprecisiones temporales y factuales” como “hacking” cortesía de ambas empresas para tenerlo atrás de las rejas.

En el peor de los casos, pagaría una multa si el juez no desestima el caso. Ahora va a la Agencia Española de Protección de Datos (AEPD) a denunciar a 8media y Nintendo por  la nula protección de sus datos. Además, recomienda que, si conocemos un caso similar, lo primero que hay que hacer es “acudid directamente a la Policía o a la Guarda Civil, que aunque a veces pueda no parecerlo, están para ayudarnos en estos casos”. Mientras tanto, la AEPD estará investigando si existe algún delito o no.

Por mi parte, esto suena mucho al caso de la puerta abierta. Si alguien deja sus ventanas y puertas abiertas en su casa, no pueden alegar por “Violación a la privacidad” a todos los transeúntes que pasen frente a la casa y miren hacia adentro. Diferente caso sería que entrasen sin autorización, algo de lo que Nintendo y 8media están muy convencidos. ¿Conocerán el .htaccess?

Link: Nintendo denuncia al descubridor del fallo de sitio web de promoción de la 3DS (El Mundo)