Cómo reportar filtración de datos personales en sitio web chileno?

sandov

Miembro Activo
Se incorporó
24 Junio 2020
Mensajes
11
Para el día de la mamá compré un regalo en un sitio de e-commerce chileno.

Inspeccionando el sitio, veo que una API del sitio entrega información como Nombre, dirección del cliente y producto comprado sin requerir ningún tipo de autenticación, solo se requiere un id, que además no es muy largo (10 dígitos) y uno puede encontrar fácilmente ids validos por prueba y error. Un atacante podría programar un crawler que descargue toda la info de las compras realizadas online en ese sitio.

Me gustaría reportar esto, bien sea a los administradores del sitio, o a las autoridades —creo que esto es una violación de la ley de datos personales— pero no encuentro ningún lugar donde hacerlo. El sitio solo tiene un formulario para reportar errores tipo "no me llegó el producto" o cosas así, pero nada sobre seguridad o privacidad.

Si alguien me da orientación se lo agradecería. Espero haber posteado la pregunta en el lugar apropiado.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.637
difícil, pero en general la comunidad está decidiéndose por un security.txt en el root del website, revisa si existe:


(para capa9.net sería 'capa9.net/.well-known/security.txt' o 'capa9.net/security.txt'. Cabe destacar que no tenemos este archivo en su lugar, pero acabo de darme cuenta que sería buena idea)

De lo contrario, revisa con un whois cuál es el correo del administrador técnico, o bien haz alaraca en twitter. Sin embargo, ten ciudado pq muchos sitios web todavía viven en el siglo pasado y te pueden demandar por intentar acceder a sus sistemas sin autorización :retard (o alguna cosa parecida, tendrías que revisar si existen precedentes en la legislación).

Saludos.
 

Obsdark

Capo
Se incorporó
28 Septiembre 2019
Mensajes
118
Llama a la brigada de delitos informáticos de la PDI y ve que puedes hacer, tal vez no puedas hacer nada, pero creería que ellos sabrían más de ese respecto y que, si algo se puede hacer, por último te orientarán hacia donde ir.

Esto lo digo no solo porque es lo que preguntas, sino que también porque alguien habló del archivo de políticas de acceso, ese archivo de texto que existe para que "no te hagan crawling" funciona hasta por ahí nomás, igual pueden hacer crawling con web scraping y ahí quedó ese texto, ergo, no es garantía que no estén sacándole los datos a la tienda.
 

wurrzag

Ciclista Jipi
Se incorporó
30 Mayo 2006
Mensajes
8.943
Vas a "sacar" algo solo con el sitio, y en comillas porque lo mas probable es que lo dejen igual.
Con PDI-denuncia-autoridades no creo que saques, ya que la violación de datos ocurre cuando alguien realmente acceda a los datos, no por el mero hecho de ser accesibles.
 

sandov

Miembro Activo
Se incorporó
24 Junio 2020
Mensajes
11
Gracias por las respuestas, ayer le mandé un mensaje a la cuenta de Twitter de la tienda, espero que el mensaje llegue a los informáticos o al encargado de seguridad, si lo arreglan en 3 semanas, voy a reportar al CSIRT.

El sitio no tiene security.txt ni nada.
 
Subir