#2 La filtración de la base de datos de PcComponentes contiene:
Identificación personal: NIF/DNI/NIE junto al nombre y apellidos Datos de contacto: email y teléfono asociado a la cuenta Dirección y logística: dirección completa, código postal y datos de seguimiento (tracking) de los envíos Compras y facturación: historial de pedidos y facturas (incluye documentación asociada) Soporte al cliente: tickets de Zendesk y conversaciones con soporte en esos ticket Datos de pago (alegados): tipo de tarjeta usada y fecha de caducidad (se mencionan “otros detalles” sin concretar) Red/seguridad: dirección IP del usuario Preferencias y métricas internas: lista de deseos y “estadísticas” del perfil (incluyendo una posible clasificación)
La filtración de la base de datos de PcComponentes contiene:
Identificación personal: NIF/DNI/NIE junto al nombre y apellidos Datos de contacto: email y teléfono asociado a la cuenta Dirección y logística: dirección completa, código postal y datos de seguimiento (tracking) de los envíos Compras y facturación: historial de pedidos y facturas (incluye documentación asociada) Soporte al cliente: tickets de Zendesk y conversaciones con soporte en esos ticket
#2 Con esa info te pueden dar de alta en donde quieran e incluso solicitar créditos bancarios.
¿Dónde hay que unirse o apuntarse para una demanda colectiva?
Porque yo ya estoy muy cansado de que mes sí, mes no, sitios donde me han OBLIGADO a meter datos que no quiero por “confidencialidad” sean expuestos en todo internet y luego encima cuando les exigen dinero por no venderlos no den ni un céntimo. Esto tiene que acabar, o dejan de pedir datos o se hacen responsables de lo que tienen.
#61 ¿Y qué tiene que ver? El hecho de que no me hayan obligado no implica que han de tener una seguridad en condiciones. Y que si mis datos se han filtrado por su culpa, yo les pueda demandar por no custodiar mis datos como debe ser. Y como dice otro compañero, el DNI no lo necesitan para NADA salvo si eres autónomo o similares y le exigen igualmente.
#7 personalmente en los sitios intento no poner nunca tarjeta de crédito si es posible (ej: usando PayPal). Si es un sitio de pago a través de redsys intento que nunca sean pagos recurrentes, si bien esto último solo posibilitaría cargos en el mismo comercio, prefiero ser cauto.
Personalmente, y entendiendo que la seguridad absoluta no existe, creo que se deberían responsabilizar más a los comercios de este tipo de actos. Si como comercio eres lo suficientemente valiente como para guardar por ejemplo un número de cuenta en una BBDD (domiciliación) solo para poder hacer cobros recursivos tendrías que serlo también para asumir las consecuencias del hackeo. Esta filtración masiva me parece de coña.
Hace un año me encontré al entrar en PcComponentes el carrito de compra de mi cuenta lleno con más de 25 artículos de gama alta. Eran componentes para montar un PC de sobremesa, todos los más caros, además de dos portátiles, también de gama alta. Llamé a atención al cliente y les dije que estaban teniendo fallos de seguridad muy grandes y que no me habían robado porque no tengo los datos de pago guardados. Me atendió una pavisosa que negó que tuvieran problemas de seguridad. Insistí varias llamadas con el tema y acabé hartándome de no recibir ninguna respuesta tranquilizadora. Así que esto de ahora es una putada, pero no me extraña. Parece que sólo les importa vender y no la seguridad de los clientes.
Joder, me acaban de filtrar los datos de Endesa, de su otra empresa siglo XXI, y también tengo cuenta en PcComponentes. En el pasado también de Phonehouse, en la empresa en la que trabajo también sufrió un hackeo y se llevaron una copia de un pasaporte caducado.
A lo que hay que añadir que hace unos días Outlook me avisó de un posible acceso a mi correo, espero que no llegaran a entrar porque tenía mi DNI escaneado, información médica...
Total, vendió no, lo siguiente.
#49 ahh si, cierto eso es la conexión … bueno, a mi ya me cabe todo, había uno en el mismo hilo que decía que tenía acceso de hace años y que lo había reportado y que en PCComponentes no hicieron nada. Bueno pues igual les tienen que cascar una multa que le cueste un coche de menos al CEO y al vecino del CEO.
Me hacen gracia los que pidan un NIF para hacer un pedido y luego pasan estas cosas. No lo necesitan y no es una buena idea dárselo, por eso siempre pongo 00000000T y si alguno tiene algún problema que cancele mi pedido y me voy a otra tienda. De hecho hasta puedes hacer el pedido a nombre de "Snoopy", si pones el nombre en el buzón no vas a tener problema. Solo necesitan la dirección y que hagas el pago
#13 me temo que las empresas están obligadas a facturar y tú eres el sujeto pasivo y además con la llegada de Verifactu, se valida con la AEAT los datos tuyos y que se te factura a ti. Si no pones datos reales, fallará el proceso.
#31 Creo que eso no es así, tu no tienes obligación de dar tu DNI si no quieres. Lo que se hace en ese caso es que se hace un factura simplicada y en cliente se pone "Cliente contado" o "Particular" y así se emitirá a Hacienda con el Verifactu.
Sugerencia a las tiendas en línea: permitir NO introducir el domicilio y en su lugar meter la dirección de la oficina de Correos, armarios o tiendas que recogen pedidos.
Por un lado facilitáis la vida a las personas al no "secuestrarlas" en su propia casa, por otro no tenéis datos que se os puedan filtrar.
#10 pero yo, que trabajo por cuenta ajena y poco se de facturas, siempre me encuentro a la hora de pagar por internet con un check que dice "Deseo facturar el pedido a la misma dirección de entrega" (o similar)
Ya digo que poco sé del asunto y cuando me encuentro esas cosas es como los avisos de cookies o que este anuncio es de un medicamento....lo ignoro/marco lo que sea automáticamente.
Pero supongo que habrá algún artefacto informático que al igual que te permite darle o no a ese check, haya algún campo para indicar donde entregar y que este disociado de la factura.
Así visto desde lejos por alguien que no sabe de facturas ni de informática
#18 ¿y crees que los borran?
Tú ya no tendrás acceso a ellos, pero ellos los siguen teniendo. Si han hecho una venta, supongo que no pueden borrar esos datos alegremente, por temas fiscales y demás.
#29 Depende del plazo de conservación, así, de memoria, creo que es de tres años por las garantías de los productos.
#28 y #22 por el principio de minimización SOLO deberían tener los datos justos y necesarios, ninguno más, otra cosa es que eso de la protección de datos se la trae al pairo a las empresas... hasta que llegan las multas de seis cifras de la AEPD.
Ayer comentaba en X alguien dedicado a la seguridad que había avisado a PCComponentes de que tenían una base de datos sin contraseña expuesta en Internet y se ve que no habían atendido al aviso y otros también lo habían detectado.
Estos fallos de seguridad deberían multarse de manera ejemplarizante porque es un cachondeo la despreocupación de las empresas con su ciberseguridad.
A media tarde me habían pasado este enlace sobre el tema, de uuna cuenta que monitorea estas cosas... a ver si mñn se confirma algo... x.com/H4ckmanac/status/2013678759958978577
#32 Cada cual cuenta la feria según le va. En mi caso compré hace años un monitor defectuoso, y se desentendieron del tema; me dijeron que su política era que lo tratara directamente con el fabricante. Ahí dejé de comprarles (aunque, por desgracia, imagino que sigo estando en su base de datos, y por tanto han filtrado mi información personal).
Datos de la tarjeta, a no ser que se guarde a propósito (por cierto, tremendo error guardarla para futuras compras en este tipo de negocios), no es delito mantener los datos una vez realizada la compra? Pregunto.
Me gustaria que en estos casos, tanto este como por ejemplo Endesa, hubiera un informe posterior con los detalles tecnicos.
Me encantaria saber como han accedido. Ya se que sera algun bug o mala configuracion en algun lado pero, seria interesante saberlo y de paso poner en evidencia al departamento de IT de cada sitio.
Por no hablar de ayudar a otras empresas a que no les pase algo parecido
#55 Yo tenía doble factor activado. No sé si puede ser eso. Le he comentado el caso a un amigo que también compra allí, y también le ha enviado email para restablecer password
Acabo de acceder y nada más entrar me ha obligado a restablecer contraseña, y en el login posterior, a usar acceso de doble factor.
No han dicho nada y lo han dicho todo.
#25 Lo mismo, pero no me han obligado a cambiarla (podría ser porque es muy fuerte, no lo sé a ciencia cierta). De todas formas, la he cambiado que es lo que deberíamos hacer todos y además activar el doble factor.
Identificación personal: NIF/DNI/NIE junto al nombre y apellidos
Datos de contacto: email y teléfono asociado a la cuenta
Dirección y logística: dirección completa, código postal y datos de seguimiento (tracking) de los envíos
Compras y facturación: historial de pedidos y facturas (incluye documentación asociada)
Soporte al cliente: tickets de Zendesk y conversaciones con soporte en esos ticket
Datos de pago (alegados): tipo de tarjeta usada y fecha de caducidad (se mencionan “otros detalles” sin concretar)
Red/seguridad: dirección IP del usuario
Preferencias y métricas internas: lista de deseos y “estadísticas” del perfil (incluyendo una posible clasificación)
Identificación personal: NIF/DNI/NIE junto al nombre y apellidos
Datos de contacto: email y teléfono asociado a la cuenta
Dirección y logística: dirección completa, código postal y datos de seguimiento (tracking) de los envíos
Compras y facturación: historial de pedidos y facturas (incluye documentación asociada)
Soporte al cliente: tickets de Zendesk y conversaciones con soporte en esos ticket
… » ver todo el comentario
¿Dónde hay que unirse o apuntarse para una demanda colectiva?
Porque yo ya estoy muy cansado de que mes sí, mes no, sitios donde me han OBLIGADO a meter datos que no quiero por “confidencialidad” sean expuestos en todo internet y luego encima cuando les exigen dinero por no venderlos no den ni un céntimo. Esto tiene que acabar, o dejan de pedir datos o se hacen responsables de lo que tienen.
Estoy por hacerme una camiseta con mis contraseñas, dirección, número de teléfono, IBAN, datos de la tarjeta, ... creo que van a estar más seguros.
Personalmente, y entendiendo que la seguridad absoluta no existe, creo que se deberían responsabilizar más a los comercios de este tipo de actos. Si como comercio eres lo suficientemente valiente como para guardar por ejemplo un número de cuenta en una BBDD (domiciliación) solo para poder hacer cobros recursivos tendrías que serlo también para asumir las consecuencias del hackeo. Esta filtración masiva me parece de coña.
A lo que hay que añadir que hace unos días Outlook me avisó de un posible acceso a mi correo, espero que no llegaran a entrar porque tenía mi DNI escaneado, información médica...
Total, vendió no, lo siguiente.
Y no me creo que ningún sistema acepte esos números...
Por un lado facilitáis la vida a las personas al no "secuestrarlas" en su propia casa, por otro no tenéis datos que se os puedan filtrar.
Ya digo que poco sé del asunto y cuando me encuentro esas cosas es como los avisos de cookies o que este anuncio es de un medicamento....lo ignoro/marco lo que sea automáticamente.
Pero supongo que habrá algún artefacto informático que al igual que te permite darle o no a ese check, haya algún campo para indicar donde entregar y que este disociado de la factura.
Así visto desde lejos por alguien que no sabe de facturas ni de informática
Tú ya no tendrás acceso a ellos, pero ellos los siguen teniendo. Si han hecho una venta, supongo que no pueden borrar esos datos alegremente, por temas fiscales y demás.
#28 y #22 por el principio de minimización SOLO deberían tener los datos justos y necesarios, ninguno más, otra cosa es que eso de la protección de datos se la trae al pairo a las empresas... hasta que llegan las multas de seis cifras de la AEPD.
Si Protección de Datos funcionara, se exigiría muchísimo más a las empresas. Es una pena como funciona.
Estos fallos de seguridad deberían multarse de manera ejemplarizante porque es un cachondeo la despreocupación de las empresas con su ciberseguridad.
x.com/0x_Bogart/status/1883674214030590419
haveibeenpwned.com/
Pero han ganado un lector
Me encantaria saber como han accedido. Ya se que sera algun bug o mala configuracion en algun lado pero, seria interesante saberlo y de paso poner en evidencia al departamento de IT de cada sitio.
Por no hablar de ayudar a otras empresas a que no les pase algo parecido
No han dicho nada y lo han dicho todo.