Privacidad en datos de clientes, parte II

En la entrada anterior comentaba sobre la privacidad de información por parte de las empresas a modo de adelantar algo.

El caso es como cliente de la empresa Entel en su servicio Will me he podido dar cuenta de algo, de su sistema de almacenamiento de facturas electrónicas pueden ser accedidas por cualquier persona y sin autorización alguna. Cuando entras a la plataforma de cliente al consultar un documento (previa a descargar), encuentras un enlace como

https://efactura.entel.cl/will/imagendoc.aspx?numdoc=000004160620&tipdoc=1&periodo=03&servicio=WL

Se compone una ruta al sistema, script en aspx, numero de documento, tipo y servicio -lo mas probable que es el utilizado por toda la empresa. Cualquier puede acceder al enlace sin necesidad de estar logeado, hace la prueba.

Revisando algo el codigo HTML + JavaScript se ve lo siguiente

[js]

[/js]

Entonces, por ejemplo agregando el numero de factura con sus 12 dígitos como el caso anterior podemos descargarnos directamente el PDF.

https://efactura.entel.cl/facturanetview.aspx?numdoc=000004160620&tipdoc=1&empresa=EPH

Cambie el número de documento (numdoc=000004160620) y verá como puede descargarse cualquier factura.

Como se puede prevenir esto:

  • Usando una URL encriptada
  • Acceso a los documentos mediante autorización, es decir, Don Juan puede acceder solo a sus facturas
  • Ó combinando los 2 métodos anteriores.

No he investigado la legislación de acuerdo de la privacidad de estos documentos pero el sentido común me hace pensar que no cualquiera debería tener acceso, o no?

Permitir acceder a esta información puede ser un factor de riesgo, se puede saber número de ingresos u otras empresas puedan convencer a esos cliente para cambien.

4 thoughts on “Privacidad en datos de clientes, parte II

  1. Estimado:
    Estoy preparando una exposición sobre la responsabilidad de la empresa frente a datos personales y BD en general, para el sitio web AREAJURIDICA.CL

    Sería posible que me indiques si para acceder a esas facturas es necesario haberse logueado como cliente de entel?.

    Es decir, una vez logueado en la paltaforma, puedes ver cualquier factura?

    Intenté acceder desde la url que pusiste en el post, y me niega acceso por permisos.

    Saludos,
    Lorenzo Miranda Morales
    Abogado
    Lexplan S.A.

  2. Lorenzo, efectivamente ahora no se pueden descargar las facturas, lo que indica que el asunto está corregido. Ahora valida que el usuario que está autentificado pueda descargar solo sus facturas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *