P. Romero | Madrid
- Se trata de un usuario de los foros del sitio 'Elotrolado.net'
- 'adan_gecko' cuenta cómo accedió a los datos y narra su declaración
El descubridor del fallo de seguridad en un sitio web de Nintendo Ibérica ha sido denunciado por la compañía por los delitos de 'revelación de secretos' y 'amenazas'. Nintendo asegura que el denunciado robó datos de unos 4.000 usuarios y amenazó a la compañía.
Precisamente el denunciado, usuario del sitio Elotrolado.net bajo el pseudónimo 'adan_gecko', ha narrado en varios comentarios publicados en los foros de dicho sitio web su versión de los hechos, es decir, tanto el fallo de seguridad del sitio web Prueba y Verás (Creado para la compañía por 8media) como el modo en el que se había puesto en contacto con la compañía de videojuegos, e incluso su experiencia durante su toma de declaración en comisaría.
Así, el pasado 8 de febrero el usuario escribió un comentario en un hilo dedicado a la campaña Prueba y Verás que Nintendo creó para reservar cita y probar la nueva Nintendo 3DS en varias ciudades españolas.
En dicho comentario, 'adan_gecko' afirma que "8media le hicieron a Nintendo una página de reservas tan chapucera que sin meter usuario ni contraseña permitía ver, modificar y descargarse los datos personales de cualquier suscrito a la campaña".
En otro comentario, y una vez que Nintendo deshabilitó el acceso a la base de datos, el propio usuario cuenta el procedimiento para acceder a los datos de dicha página web. Tan solo había que cambiar las 'www' del sitio 'pruebayveras.com' por 'admin' (es decir, http://admin.pruebayveras.com) para acceder a ellos, "sin introducir usuario ni contraseña".
No obstante, fuentes de la compañía remarcaron ayer que el intruso había actuado mediante el uso de "varias" técnicas de 'hacking', hecho certificado por "un peritaje externo e independiente".
Explica 'adan_gecko' que al no recibir respuesta por parte de la compañía a sus correos (cuyo contenido íntegro también ha publicado), se disponía a elaborar una denuncia ante la Agencia Española de Protección de Datos el próximo lunes.
Sin embargo ya desde el mediodía de ayer otros usuarios avisaron a algunos medios, y poco más tarde Nintendo envió una nota informativa alertando de la intrusión en la base de datos asociada al sitio web promocional, e informando de que se habían tomado medidas legales, así como que se había puesto este suceso en conocimiento de la AEPD.
Ayer por la noche, el descubridor del fallo de seguridad narró en un nuevo comentario su experiencia durante la realización de su ficha policial y la toma de declaración en una comisaría de Málaga, lugar donde actualmente reside.
El usuario 'adan_gecko' afirma que "en la denuncia al parecer se ven reflejadas todo tipo de imprecisiones temporales y factuales", asegura que la compañía tardó más de 48 horas en cerrar las reserva en el sitio web, niega haber borrado su base de datos y asegura que los datos que se descargó -ya borrados, asegura- son "listados con sólo parte de los datos que estaban disponibles en la aplicación de administración".
Por otro lado, fuentes de Protección de Datos han confirmado que la agencia "va a iniciar actuaciones de investigación para esclarecer si los hechos puestos en conocimiento de la Agencia por la compañía Nintendo pueden ser constitutivos de infracciones de la normativa de protección de datos, los posibles responsables de las mismas y en su caso las responsabilidades atribuibles".
Fuente: Diario EL MUNDO
No hay comentarios:
Publicar un comentario