La seguridad (inexistente) en los clubes de compra privada

10 septiembre, 2011

Negocios, Tecnología

Ayer recibo un correo de BuyVIP reconociendo que mis datos han sido comprometidos, que alguien podría haber accedido a mis datos, incluida mi contraseña.

La verdad es que me ha sorprendido que hallan tardado tanto tiempo en robar los datos, pues la seguridad en los clubes de compras es de risa, es algo que llevamos denunciando muchísimo tiempo, y no hacen caso alguno.

Uno de los mayores problemas es el autologin, me sucedió el año pasado: Me llegó una oferta de Privalia y la publiqué en Twitter, y resulta que todos los que hacían click en el enlace, entraba en Privalia con mi cuenta!!! veían mis datos, mis pedidos!!!! Me puse a investigar y resulta que esto pasa en casi todos los clubs de compra, un desastre!!!!

En el caso de BuyVIP, ahora nos dice que estaban almacenando las claves!!!!!!!! en cualquier manual básico de párvulos de programador se aconseja no almacenar las claves en base de datos, es que es tan, tan básico que no me lo creo, me niego a creerlo, prefiero pensar que el que ha redactado la nota de BuyVIP no sabía este dato.

Si queremos que el eCommece se desarrolle en España, esta “dejadez” en los sistemas de seguridad deberían estar castigados por ley, sobre todo cuando hay reclamaciones de miles de clientes que se han dado cuenta de estos errores.

, ,

25 Responses to “La seguridad (inexistente) en los clubes de compra privada”

  1. Mep Says:

    La clave SIEMPRE se guarda en la base de datos. De lo contrario, ¿de qué forma se devolvería al usuario? Lo que JAMÁS hay que hacer (y eso es lo que realmente pone en “cualquier manual básico de programador”) es almacenarla como simple texto plano. Debe ir, por contra, encriptada (md5, etc)

    • JuanMacias Says:

      Ja ja, 😉 entramos en la discusión filosófica de los md5 en bbdd. Algo que no se puede recuperar, ¿se puede considerar almacenado?
      Pero si, se almacena el MD5 pero con algo mas, el md5 solo no sirve para nada.

  2. Victor Outletpremier Says:

    Una pregunta Juan: se puede programar un mail, para que cuando se envía, el usuario al pinchar acceda a su cuenta directamente a su cuenta, pero que al reenviarlo, se eliminen los datos de sesión?

    En los clubes de venta privada, en los q es necesario validarte o loguearte para ver los productos y poder comprar, es importante q el usuario acceda directamente desde el mail porque la mayoría no recuerda sus claves y si tiene que estar buscandola o enviando la solicitud para q se le reenvie, se van, pero es un problema de seguridad muy grande como bien dices.

    • JuanMacias Says:

      No hagas autologin, la solución es la siguiente.
      Primero usa cookies, si ha entrado antes en ese ordenador se le permite el login.
      Segundo, en caso de no haber cookie, tienes que hacer un “login light” como el que hace linkedin algunas veces. Se permite ver precios, y nada mas. Si tiene intención de comprar entonces le pides la clave o si no la recuerda que vuelva meter todos los datos.

  3. Mep Says:

    Almacenar la clave de forma encriptada sirve básicamente para -primero- permitir que pueda existir logueo por parte del usuario sin que nadie -ni siquiera el admin de esa misma BD- pueda conocerla. Lo que se conseguiría por comparación.

    Y -segundo- con el fin de que no ocurran este tipo de cosas. Que alguien, simplemente, robe tu BD y se encuentre directamente claves planas en lugar de encriptadas.

    Por tanto, el MD5 (entre otros) me temo que, en efecto, “sí sirve”. Y mucho. No veo nada filosófico en esto.

    • JuanMacias Says:

      Hay una bbdd en internet con todos los md5 de claves hasta 10 letras…. hay gente muy aburrida…. Del md5 se obtiene súper rápido la clave

  4. Mep Says:

    Y no por ello dejas tu BD con claves planas en lugar de encriptadas. El origen de mis comentarios se dirigen a la frase “[..]en cualquier manual básico de párvulos de programador se aconseja no almacenar las claves en base de datos[..]”. ¿No guardáis en demartina.com los datos de vuestros clientes en una base de datos?

    • JuanMacias Says:

      No guardamos un MD5, guardamos la información necesaria para comprobar si el password es correcto 😉

  5. Marius Says:

    A mi me parece importante que lo han comunicado a sus clientes. Estas cosas a veces pasan. Ya se que no deberia y bla bla, pero algunos pasaban olimpicamente de esto.

  6. Mep Says:

    Pues a eso voy Juan. Creo que tú mismo lo estás diciendo. Guardáis la misma clave encriptada en la base de datos. Por eso no podéis conocer la clave de vuestros clientes directamente. Y por eso, cuando la olvidan, el sistema ha de enviarles una nueva a su email.

  7. David Lopez Says:

    Hila, trabajo como responsabe de IT en uno de estos clubs de ventas privada. Puedo asegurar que tenemos fuertes medidas de seguridad para garantizar los datos de usuarios. Tanto internamente como externo. Pero doy la razón a un tema, el atulogin, en nuestro caso si compartes cualquier producto al nuevo usuario lo llevamos a un registro. Pero si el usuario reenvía su email con las pronos del dia. Este correo da acceso a toda la cuenta del cliente. En este punto interviene Marketing ya que debemos facilitar el acceso a nuestro usuario.
    Saludos,

  8. Christian Says:

    Hola Juán,

    Excelente artículo! Felcidades! Y Felicidades por denunciar a raíz de tal hecho (que no se lo deseo a nadie, que conste) un verdad tan obvia!

    La verdad, que después de haver trabajado en uno de los clubes de ventas qué has mencionado en este artículo, es que la seguridad en este tipo de sitios es de las cosas de más baja prioridad (es decir, es de risa como bien dices) ya lo constanto. Es una lástima que se deba concienciar a la gente que trabaja en estas empresas a través de hechos como los de Buyvip.

    Un saludo! Y felicidades por este artículo y por tu blog.
    Christian.

  9. Ricard Clau Says:

    Hola

    Llevo varios años trabajando en e-commerce y quisiera puntualizar varias cosas porque puede llevar a engaño a la gente no-técnica:

    – MD5 ya no es un algoritmo seguro, de ninguna manera. Como dice Juan Macías, se pueden recuperar contraseñas de 10 carácteres instatáneamente. Hay soluciones mucho mejores como SHA512+salto, pero para ello, hay que hacer una campaña para forzar a que TODOS los usuarios reescriban su password ya que estos no se almacenan, sino que se almacena su hash. Y esto a la gente no le gusta. Por tanto si se hizo en MD5, es complicado cambiar. Y el 99% de e-commerces usan MD5 o SHA1 y sí, se guarda esta cadena “encriptada”, en todas partes.

    – El autologin es necesario desde el punto de vista de marketing, y lógicamente se necesita una palabra de paso que si se la das a alguien, entra en tu cuenta. Sin duda, la solución es poner dos niveles de seguridad, uno para navegar y otro para alterar cosas de “Mi Cuenta” o por supuesto “Comprar”. Pero hablar de cookies para controlar eso… pocas cosas son más inseguras que una cookie.

    – Lo realmente grave, que es lo que debe haber pasado, es que haya bugs en el código que permitan inyectar SQL y sacar así la BBDD entera. Pero esto suele pasar porque los empresarios prefieren contratar a juniors a peso, o subcontratar consultoras de dudoso nivel técnico que a gente experimentada. Y así les luce el pelo.

    En cualquier caso, felicidades por denunciar una realidad. Eso sí, que nadie se alarme, que los pagos con VISA y demás suelen ser seguros, tampoco hay que crear una alarma innecesaria.

    La seguridad depende también del usuario, al cual hay que educar para que sepa lo que no puede hacer, como es enviar sus autologins a sus amigos.

  10. Daniel Brandi Says:

    Por si sirve de algo y da un poco de luz sobre el tema de las passwords, BuyVIP almacena la password encriptada en MD5 con una semilla de 128 caracteres generando un hash de 24 caracteres. Resumiendo, como la validación de password se hace por comparación de valores encriptados, obtener la password es casi imposible. Haría falta muchas millones de horas por fuerza bruta para obtener una única password.

    Respecto al tema del autologin, no puedo estar más de acuerdo. De hecho cuando se hizo en BuyVIP yo era el CTO y mi oposición fue total por temas de seguridad, pero el negocio mandaba y hubo que hacerlo.

    Un saludo

  11. Mep Says:

    Juan, el correo de BuyVip dice: “A pesar de que almacenamos nuestras contraseñas de forma protegida [..]”. Eso ya indica que, efectivamente, las estaban encriptando.

    Tu denuncia pública es que “[..] en cualquier manual básico de párvulos de programador se aconseja no almacenar las claves en la base de datos”. Luego, más tarde, tú mismo pareces confirmar que también guardáis las claves encriptadas de vuestros clientes en demartina.com.

    Juan, no hay diferencia entre lo que hace BuyVIP con las claves y lo que hacéis vosotros.

  12. Mep Says:

    En fin …

  13. Cristina Says:

    Increible Juan, a mí me llegó el mismo correo y aluciné! además nos consuelan diciendo que no han accedido a los datos de la tarjeta de crédito. A estas alturas ya no sé si fiarme de que eso sea cierto…

  14. Jacinto Says:

    uff, hay que tener demasiado cuidado, muchos seguro que lo tenemos pero dentro de una bbdd de más de 4 millones de clientes te aseguro que mucho muchos no saben ni escribir una url en el navegador.
    buyvip debería hacer algo más que esa simple carta, además el problema es que esos email y contraseñas son los que utilizan mucha gente para otras webs, así que imágina si han de ir una por una cambiando…

  15. M.Jose Says:

    Ayer dia 13 recibi el mismo mail de buyvip,veo que vosotros entendeis de informatica,pero yo que soy una simple aficionada,estoy un poco nerviosa a raiz de dicho mail y no se muy bien que tengo que hacer(a parte de darme de baja de buyvip inmediatamente)cambio todas mis contraseñas?podran acceder a datos del banco como dice Critina?por favor me podeis decir que hago?

    • JuanMacias Says:

      Si tenías la misma clave en otras páginas como facebook, etc… cambialo, en cuanto al banco, no debe haber problema alguno.

  16. M.Jose Says:

    Gracias.Un saludo

  17. Karlos Says:

    Buenos días a todos:

    Creo que nada tiene que ver con todo lo que estáis hablando (demasiados tecnicismos para mi), pero me gustaría comentar una cosa que me preocupa dada la importancia del E-comerce en el futuro:

    Yo no me he dado de alta en un club de de venta Privada (Outletpremier.com)y aun así me están llegando ofertas constantemente. Me llaman Marcos, como si me hubiera dado de alta con este nombre, y yo no soy Marcos. Que seguridad me ofrece a mi este club, visto lo visto? Lo llevan claro si quieren que les compre algo.

    Me están haciendo un publicidad muy pesada a mi Email y creo que me estoy empezando a cansar. Es denunciable?

    Un saludo

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies