Fallo de programación en la página web de El Corte Inglés

Hace un par de meses he descubierto un fallo de programación en la página web de El Corte Inglés. He intentado contactar con alguno de sus responsables técnicos pero el camino ha sido largo e infructuoso. Una vez más me veo en la obligación de hacer pública la noticia para ver si de este modo corrigen el problema.

Descubrí el error el 21 de Enero de 2002, y como siempre, por pura casualidad. Al día siguiente me puse en contacto con una amiga de mi esposa, hija de un responsable del departamento informático de El Corte Inglés para que le hiciera llegar la noticia. La respuesta por parte de esta persona fue: «No nos interesa el problema, si quiere póngase en contacto con los responsables de la página web».

El 29 de Enero de 2001 mande un correo electrónico a la dirección servicio_clientes@elcorteingles.es con el siguiente contenido:

Hola,

he descubierto un error de programación en la tienda online de El Corte Inglés que se podría aprovechar para acceder a las cuentas de los usuarios.

Sin ser un problema demasiado grave y que requiere de la «ingeniería social» para usarlo con éxito, podría comprometer la seguridad del sistema.

Si desean más información al respecto, no duden en ponerse en contacto conmigo.

David A. Pérez

Nunca recibí contestación a este correo. Por este motivo, el 6 de Febrero de 2002 llame al número de teléfono 902 119 368 (teléfono de atención al cliente que aparece en su página). Me atendió una señorita muy amable a la que convencí, no sin dificultad, de la existencia de un error de programación y posible fallo de seguridad en su página web. Esta señorita, en vez de pasarme con algún responsable, me pidió que reenviara el correo a la dirección clientes@elcorteingles.es. Tampoco obtuve contestación a este segundo correo.

Mi obcecación por informar de el error a los responsables técnicos de la página antes de hacer público el error, me llevo a ponerme en contacto con el responsable de una lista de seguridad para pedirle que se pusiera en contacto con sus posibles suscriptores del dominio «elcorteingles.es» a fin de hacerles participes del problema. Se enviaron dos correos, uno de ellos el 22 de Febrero y otro el 26 de Febrero. Ninguna de estas personas respondió.

Así pues me veo en la obligación moral de hacer publico el aviso para ver si de esta forma corrigen el problema, que sin ser demasiado grave, permite la inserción de código javascript malicioso en una de sus páginas. Este tipo de fallos es bastante común y el CERT ha hecho públicos varios documentos sobre la vulnerabilidad y sus consecuencias. Uno de los últimos documentos se titula «Configurando el servidor web para minimizar la funcionalidad de programas, scripts y plug-ins».

El actual problema de El Corte Inglés nos permite, entre otras cosas, robar cookies, secuestrar sesiones y crear pantallas de inicio de sesión falsificadas.

Sin ser un problema demasiado grave, lo más dramático es el escaso interés que han mostrado por el asunto. Me pregunto si leyes como la LSSI van a evitar este tipo de comportamientos por parte de las empresas, o por contra, solo se van a cebar en los usuarios.