¡Grave! Fallo de seguridad en Sodimac deja al descubierto datos de miles usuarios

Tema en 'Noticias' iniciado por fearman22, 20 Nov 2018.

  1. fearman22

    fearman22 Super Moderador
    Super Moderador
    17/41

    Registrado:
    8 Oct 2008
    Mensajes:
    16.735
    Me Gusta recibidos:
    809
    [​IMG]
    Compañía chilena expone por error datos de clientes en su sitio web. ¿Hasta qué punto los protege la ley?

    Un error de seguridad en el sitio web de Sodimac ha dejado al descubierto datos de miles de usuarios. Esta situación pone en la discusión nuevamente en la necesidad de actualizar la normativa para el resguardo de la información personal.

    Sodimac es una tienda propiedad del holding Falabella, controlado en gran parte por las familias Solari, Cúneo y Del Río-Goudie. Está presente en Chile, Argentina, Brasil, Colombia, México, Perú y Uruguay, por eso el reciente fallo de seguridad se torna tan grave (aunque solo se ha comprobado en Chile).

    Al igual que otras compañías, la empresa permite hacer compras online en su sitio web. Para esto, es necesario crearse un usuario que, como es común, requiere de un correo electrónico y un RUT. No obstante, el fallo de seguridad deja al descubierto información de la compra y datos personales de los usuarios. El error fue descubierto por el equipo de comebarato.clAsí lo comentó el administrador del portal:

    La vulnerabilidad del sitio de la tienda, tiene relación con la información de los usuarios. Es posible ver el detalle de las compras, las direcciones de despacho e información personal. Es importante que se arregle pronto, para evitar la exposición innecesaria.

    [​IMG]
    No transparentaremos la metodología del error, puesto que se trata de información que puede ser sensible para los usuarios. Sin embargo, la situación deja al descubierto un tema pendiente en Chile.¿Hasta qué punto se puede hacer uso de nuestros datos?

    Hace poco el Consejo para la Transparencia de Chile hizo un llamado a que la normativa para la protección de datos personales se actualice, para que las empresas se hagan responsables cuando exista alguna brecha de seguridad que afecte a los usuarios.

    Marcelo Drago, presidente del Consejo para la Transparencia, hizo mención a la filtración de datos que sufrió Uber hace algunos años en EE.UU., mencionando que un caso similar no se hubiese podido abordar con la misma rigurosidad en el país. “No es posible quedarnos esperando que se tramite y promulgue la ley o enfrentar casos de vulneración masivos para reaccionar a las necesidades y demandas actuales", dijo en la oportunidad.

    En este marco, el proyecto de ley que envió el ejecutivo contempla nuevas medidas para la protección de información personal, aunque aún queda camino para que esté operativo. Jorge Atton, asesor presidencial en ciberseguridad, se refirió al tema hace un tiempo:

    La ley de datos personales, hará una serie de exigencias, por eso es muy importante. Independientemente de eso, cada sector debe tener una normativa muy específica. Hay una que se está actualizando y vamos a incorporar en la normativa cuál es la información que debe ser resguardada por los clientes (…) La lógica de la ley de datos es que cuando yo entregue la información porque la pidieron, porque es una condición, es evidente que esa entidad o el Estado está obligado a protegerla.

    Hoy nos encontramos con un caso de similares características en el país. Para Juan Carlos Lara, abogado y director de Políticas Públicas e Investigación de la ONG Derechos Digitales, es crítico que la legislación se actualice:

    Las empresas recogen un montón de información y eso significa que ellos son responsables. Tienen una serie de obligaciones asociadas, como las condiciones de seguridad, además del consentimiento del usuario. Las obligaciones son débiles, bajo la ley actual. La ley dice que el responsable tiene que cuidar los datos y hacerse responsables de los daños. Para poder perseguir algún tipo de responsabilidad hay que probar algún daño y en este caso, por ejemplo si alguien descargarse alguna bases de datos, es difícil de calificar como daño. Habría que probar algún tipo de daño patrimonial, que es difícil.

    El proyecto de ley de datos personales fue presentado este año y se fusionó con otro que venía del Senado. Actualmente hay una mesa de trabajo donde se están haciendo las revisiones para que el proyecto progrese y se apruebe pronto. Es importante actualizar la legislación para que cuando existan estas fallas, haya responsabilidad por parte de la empresas y se adopten medidas suficientes.

    Contactamos a Sodimac para informarles del fallo, y estamos a la espera de una respuesta

    FAYERWAYER

     
    A ikeduk le gusta esto.
  2. BrandoTaberna

    BrandoTaberna Usuario Casual nvl. 2
    42/82

    Registrado:
    21 Jun 2018
    Mensajes:
    608
    Me Gusta recibidos:
    142
    Amigos de Fayerwayer mándele un video tipo "Hágalo Ud Mismo!!!"
     
  3. JAIRO29

    JAIRO29 Usuario Nuevo nvl. 1
    17/41

    Registrado:
    15 Oct 2018
    Mensajes:
    76
    Me Gusta recibidos:
    32
    Hoy en dia cualquier mortal puede acceder a los datos ajenos sin necesidad de ser hacker...vasta con poner en google el rut de la persona y sale varios datos, pero estos weones mas encima se prestan los datos, ahí el ejemplo de las compañias telefonicas.