Una brecha en la web de entradas de la Alhambra expone los datos de 4,5 millones de visitantes

Una brecha en la web de entradas de la Alhambra expone los datos de 4,5 millones de visitantes
2 comentarios Facebook Twitter Flipboard E-mail

Según informa El Confidencial la web de venta de entradas de la Alhambra ha expuesto datos personales y financieros de 4,5 millones de visitantes, algo que también ha afectado a 1.000 agencias de viaje. El sitio web afectado, adscrito a la Junta de Andalucía, es tickets.alhambra-patronato.es.

El diario confirma que en este momento, la brecha en la web de venta de entradas de la Alhambra ha sido solventada. Sin embargo, en el resto de web de la empresa que provee el soporte, Hiberus Tecnología, la brecha sigue abierta. Hablamos de un problema que ha expuesto datos tan sensibles como direcciones postales, de e-mail, teléfonos, nombres y apellidos, etc. En el caso de 340 agencias de viaje, también contraseñas sin cifrado. Los usuarios no se ven afectados por esto último, porque no hay que utilizar contraseñas en el proceso de compra, mientras que las agencias sí necesitan registrarse.

Es decir, no sólo peligrarían los datos por la importancia que tiene de cara a la privacidad en la propia web, sino porque hay suficiente detalle como para suplantar la identidad en otros servicios web.

La web de reservas era vulnerable a tres tipos de inyecciones SQL: una mina para el fraude

Alhambra
Nombres de usuarios, contraseñas, correos y cuentas bancarias encontrados por El Confidencial en la web de ventas de la Alhambra.

Según cuenta un experto a El Confidencial, el método empleado, la inyección SQL empleada es un técnica muy antigua frente a la que la mayoría de empresas ya están totalmente protegidas. Lo grave es que una web con tanta actividad como esta, y que maneja este tipo de datos, no haya implementado una protección mayor, pues ni siquiera el sistema tenía Firewall para Aplicaciones Web (WAF), que siempre refuerza la seguridad si otros eslabones fallan.

La "culpa" de el desastre informático es, según el diario, del sistema informático lacpos, que Hiberus adquirió en 2017. El software en sí es seguro y fiable en casos como en el Museo del Prado o en el Museo Thyssen, pero la diferencia es que la versión del software lacpos implementada en ellos no presenta las vulnerabilidades del sistema de reservas de la Alhambra. Como decíamos antes, hay más afectados por el uso de una versión desactualizada, museos más modestos y otras webs de ventas de entrada que no se especifican para proteger a los clientes.

Hiberus, mediante su abogado, contactado por El Confidencial, no reconoce abiertamente el problema, ni deja de reconocerlo. Solo mencionan que "ya han hecho las modificaciones necesarias para corregir posibles problemas", y que "como no ha habido brecha de seguridad, no comunicaremos nada a la AEPD ni a los usuarios". El Patronato de la Alhambra y Generalife de la Junta de Andalucía sí reconoce el fallo de seguridad, y afirma se "se está investigando el origen, impacto y posible difusión a terceros de datos personales". De momento, Hiberus tiene contrato en vigor hasta julio de 2019, por el que se ha embolsado aproximadamente un millón de euros al año.

Comentarios cerrados
Inicio