El consultor informático Keith Little descubrió el error en ComputerHQ.com, una página web de venta de artículos informáticos, cuando estaba utilizando una URL que facilita la compañía en sus facturas para verificar el estado de un pedido que había hecho. Modificando uno de los números del pedido pudo comprobar que aparecía toda la información referente a otro cliente.

Inmediatamente se puso en contacto con el responsable de la web que pudo confirmar que efectivamente existía el fallo pero, a pesar de que durante el fin de semana pasado el site estuvo alternativamente en servicio y fuera de servicio, la información seguía estando expuesta el lunes.

En ningún momento los clientes recibieron comunicado alguno por parte de la compañía de este grave incidente, los que han tenido noticias del caso ha sido a través del portal de noticias Wired News con los que se puso en contacto Little y que procedió a avisar a algunos de los afectados que se mostraron, como es normal, desagradablemente sorprendidos.

Para acceder a la información referente a los pedidos el usuario debe teclear en una pantalla un código postal que le sirve de clave de acceso, pero en el caso de realizar la consulta desde una navegador con la opción Javascript desactivada (acción que toman muchos internautas para evitar las pop-up y otros tipos de publicidad), esta ventana se omite y se accede directamente a las notas del pedido.

Lo alarmante del caso para Keith Little es que los programadores del site hayan cometido un error tan absurdo de programación que ha podido comprometer la seguridad de miles de personas durante nada menos que un año. Asimismo se pregunta porqué la empresa ha elegido como clave de acceso un número de cinco dígitos que es tan fácil de hackear.

Una elección nada acertada...