#4 Y el dato que obtienes es el nombre y las iniciales de los apellidos. El cuál solamente puedes ligar al teléfono. Vamos, que te quedaría un largo listado así:
María Ángeles G. M. - +34 6xx xxx 123
etc..
Wow, pedazo brecha de seguridad, no? Lo que van a conseguir con esto es que Bizum simplemente oculte ése dato al remitente y que a partir de ahora éste envíe el dinero un poco más a ciegas. Habrá más timos y errores.
Esto me parece un poco tonto, la verdad, tiene poco sentido. Luego te piden que entregues copia del DNI para reservar un hotel, etc. No sé.. poca coherencia. De ahí que la multa sea tan baja, no son datos sensibles.
Y es prácticamente algo parecido a lo que ocurre en WhatsApp, que añadiendo un teléfono aleatorio puedes ver en nombre que se haya puesto el usuario (aquí imagino que no afecta a la LOPD porque el usuario ya ha firmado que eso será público). Por lo que también podrías hacer un super listado usando scrapping.
No lo pillo. La noticia dice que se hizo :
" ... al automatizar un usuario la consulta secuencial de números de teléfono desde la web de una de las entidades adheridas ".
No lo hizo desde la web de Bizum, sino que jaqueó la web de una entidad adherida al sistema (entiendo que cliente de Bizum).
¿La culpa es de Bizum?
#2 Cualquier empresa en la que he trabajado de ese tamaño tiene gastos asociados muchísimo mayores que esos 80.000€. Seguro que Bizum sólo en AWS gasta más de un millón al año. Sólo en infraestructura de computación.
Estamos incumpliendo la ley y nos pueden caer 80k de multa. Los inversores y los clientes exigen ésta característica en el producto y eso desbloqueará cinco millones en financiación y potencialmente 3 millones en ventas.
#1 Si las autoridades ya saben que estás incumpliendo la ley más te vale resolverlo si no quieres volver a recibir otra multa pasados unos meses, y otra si sigues incumpliendo la ley, y luego otra ...
80.000€ para esa empresa es una multa que muy probablemente no llegue ni al esfuerzo económico que tendrían que hacer para implementar la solución técnica.
Si estoy yo en esa reunión para el Roadmap de los próximos tres meses, lo más seguro es que como responsable técnico de la decisión ésta fuera NO implementar y tirarlo para discutir esa mierda el siguiente trimestre. Simple cuestión de evaluación de gastos y objetivos.
María Ángeles G. M. - +34 6xx xxx 123
etc..
Wow, pedazo brecha de seguridad, no? Lo que van a conseguir con esto es que Bizum simplemente oculte ése dato al remitente y que a partir de ahora éste envíe el dinero un poco más a ciegas. Habrá más timos y errores.
Esto me parece un poco tonto, la verdad, tiene poco sentido. Luego te piden que entregues copia del DNI para reservar un hotel, etc. No sé.. poca coherencia. De ahí que la multa sea tan baja, no son datos sensibles.
Y es prácticamente algo parecido a lo que ocurre en WhatsApp, que añadiendo un teléfono aleatorio puedes ver en nombre que se haya puesto el usuario (aquí imagino que no afecta a la LOPD porque el usuario ya ha firmado que eso será público). Por lo que también podrías hacer un super listado usando scrapping.
1- Inicias un bizum poniendo un teléfono
2- Te sale el nombre del destinatario. Copias los datos.
3- Cancelas la operación. Y repites con otro número.
Que se pueda hacer es responsabilidad de Bizum. El hackeo no fue para obtener los datos sino para automatizar la consulta masiva.
" ... al automatizar un usuario la consulta secuencial de números de teléfono desde la web de una de las entidades adheridas ".
No lo hizo desde la web de Bizum, sino que jaqueó la web de una entidad adherida al sistema (entiendo que cliente de Bizum).
¿La culpa es de Bizum?
Estamos incumpliendo la ley y nos pueden caer 80k de multa. Los inversores y los clientes exigen ésta característica en el producto y eso desbloqueará cinco millones en financiación y potencialmente 3 millones en ventas.
Ese sería el fin de la discusión.
Si estoy yo en esa reunión para el Roadmap de los próximos tres meses, lo más seguro es que como responsable técnico de la decisión ésta fuera NO implementar y tirarlo para discutir esa mierda el siguiente trimestre. Simple cuestión de evaluación de gastos y objetivos.
Es ridículo.