Para el día de la mamá compré un regalo en un sitio de e-commerce chileno.
Inspeccionando el sitio, veo que una API del sitio entrega información como Nombre, dirección del cliente y producto comprado sin requerir ningún tipo de autenticación, solo se requiere un id, que además no es muy largo (10 dígitos) y uno puede encontrar fácilmente ids validos por prueba y error. Un atacante podría programar un crawler que descargue toda la info de las compras realizadas online en ese sitio.
Me gustaría reportar esto, bien sea a los administradores del sitio, o a las autoridades —creo que esto es una violación de la ley de datos personales— pero no encuentro ningún lugar donde hacerlo. El sitio solo tiene un formulario para reportar errores tipo "no me llegó el producto" o cosas así, pero nada sobre seguridad o privacidad.
Si alguien me da orientación se lo agradecería. Espero haber posteado la pregunta en el lugar apropiado.
Inspeccionando el sitio, veo que una API del sitio entrega información como Nombre, dirección del cliente y producto comprado sin requerir ningún tipo de autenticación, solo se requiere un id, que además no es muy largo (10 dígitos) y uno puede encontrar fácilmente ids validos por prueba y error. Un atacante podría programar un crawler que descargue toda la info de las compras realizadas online en ese sitio.
Me gustaría reportar esto, bien sea a los administradores del sitio, o a las autoridades —creo que esto es una violación de la ley de datos personales— pero no encuentro ningún lugar donde hacerlo. El sitio solo tiene un formulario para reportar errores tipo "no me llegó el producto" o cosas así, pero nada sobre seguridad o privacidad.
Si alguien me da orientación se lo agradecería. Espero haber posteado la pregunta en el lugar apropiado.
... Aquí en chile estamos super desprotegidos, malditos honorables y su tropa de ineptos asesores.
(o alguna cosa parecida, tendrías que revisar si existen precedentes en la legislación).
