Buyvip tiene un problema de privacidad y seguridad con sus newsletters
25 Mar
Enviado por juanluis en Aplicaciones web, Comercio electrónico, General, Internet, Opinion, Seguridad, Usabilidad
O eso me parece a mi, sin ser un experto en estos temas.
Resulta que mi mujer hace unas semanas se dió de alta en Buyvip.
Son muy activos enviando newsletters e emails con las diferentes campañas que van lanzando. Hasta aquí todo bien.
El problema viene en que desde esas newsletters hay un botón para entrar en la tienda, algo en principio lógico y normal.
Lo que no me parece normal es que haciendo click en ese botón se entre directamente en la tienda, logeado.
Yo desde luego es la primera vez que lo veo. Primero pensaba que podría ser por un tema de cookies, pero lo he probado en otros equipos y no es así.
Este es el enlace que contiene ese botón (editado para que no entreis por mi a hacer pedidos… )
http://n.buyvip.com/dispatcher/service?dh=1003242xxxx3541045&l=es&o=0&a=1610032421xxxx293242&USER_HASH=I0I5MUI2OEE2ODg1MUJGN0YyQzg3MjxxxxU5NzlFRTFC
Vamos, que si mi mujer reenvia el email a una amiga o a 100, para enseñarle una promoción que le puede interesar, la persona que lo recibe puede entrar en la cuenta de la primera.
Ver todos sus datos personales, sus pedidos, y creo que si me apuran hasta hacer un pedido, o cambiar datos.
No he visto que se advierta de esto (o al menos la letra pequeña me ha impedido identificarlo bien), y yo desde luego es la primera vez que veo que desde el email o newsletter de cualquier servicio se pueda entrar directamente en la cuenta personal, sin hacer antes login.
Me parece, y mas en el cao de Buyvip, un tema bastante delicado, ya que estoy seguro que mucha gente reenvía esos emails y también estoy seguro que tarde o temprano, si no lo ha hecho ya, puede acarrear problemas.
Seguramente no se han pensado en las consecuencias, y se ha hecho para facilitar al usuario el acceso al sitio, sin mala fe.
Pero creo que nunca se puede anteponer la usabilidad o cualquier otro factor a la seguridad y privacidad.
Igual estoy diciendo un chorrada y es posible que haya otros servicios que hagan lo mismo…
Pero yo creo que al menos, si no quieren eliminar esa funcionalidad de poder entrar directamente desde el newsletter en tu cuenta, deberían de advertirlo, y muy claramente, para que la gente, que en su mayoría no se entera de la película, sepa a que atenerse.
Actualización : Me comentan que otros clubs de compras hacen lo mismo, aunque no vale como excusa. Amazon y quiero creer que la gran mayoría de tiendas online serias no lo hacen. Y dudo hasta de la legalidad de esto en términos de protección de datos.
19 Respuestas
DN
25th March 2010 a las 1:05 pm
1No es sólo cosa de Buyvip todos los clubs privados de ese tipo hace “autologin” desde su lista de correo… un peligro.
Dondado
25th March 2010 a las 2:47 pm
2Comprobado que es así para BuyVip y como dices, sospecho que para todos los clubes de compra, un reenvío de correo da acceso a toda la información almacenada (el número de tarjeta no lo guardan, al menos de eso te salvas).
Peligrosísimo, especialmente porque el perfil de quienes utilizan estas webs es muy dado a reenviarse correos para avisarse de ofertas.
A esto añadirle que como sabemos el correo no es precisamente un medio de comunicación seguro, con un snifer te puede hinchar a obtener datos de todos los que reciben estos correos de los clubs de compras.
A ver si me animo a escribir otro post sobre esto para darle más difusión.
Benjamin García
25th March 2010 a las 5:12 pm
3Se excusan con la de ayudarle o hacerle a usuario la vida más fácil. Aunque quite tiempo, me gusta ingresar mis datos cada vez que acceso a un servicio y, aunque no soy usuario de Buyvip, hay que poner más atención a esos detalles.
¿Has enviado correo a los administradores?
Saludos.
Pablo Martínez-Almeida
25th March 2010 a las 7:34 pm
4Igual ocurre con voyage-prive.es voyageprive.com
Desde una newsletter enviada a alguien accedes a sus datos.
¡Es una barbaridad!
c-295
25th March 2010 a las 11:40 pm
5A mi entender es todavia peor ya que puesto que esta puesto en el link queda en el historial del ordenador.
luego si tu mujer pincha en el trabajo ,o cualquier otro ordenador al que tenga acesso mas personas, le saldra en el historial o los que lo usen.Incluido en las recomendaciones de la barra de direcciones.
Los peligrosos mails de los clubes privados de compras | Dondado
26th March 2010 a las 1:50 am
6[...] estado muy atinado Juan Luis en su post sobre los fallos de seguridad que tienen las newsletteres de BuyVIp y otros clubes privados de [...]
Enrique
26th March 2010 a las 2:07 am
7Hola, el articulo me parece muy interesante, hay que ver los que hacen los grandes clubes privados de compras para vender mas en tiempos de crisis, aun así me parece una practica fuera de la legalidad ya que viola claramente los términos de confidencialidad de datos. Aun así me gustaría pensar que las demás empresas no hacen estas malas practicas, y que las webs que se dedican a este mercado del ecommerce deberían de estar al frente personas con sentido ético, ya que si hay una proliferación de estas practicas, al final se van a cargar el mercado, un mercado que en el ultimo año ha tenido un crecimiento de un 5% cuando hemos visto que la empresas del mercado textil de venta tradicional han sufrido bien la crisis. espero que organismos actúan frente a estas malas practicas con sanciones, pero claro el problema esta en que la gente no sabe de estas cosas, y deberíamos de difundirlo sin crear alarma social por supuesto. gracias por difundirlo por este medio tan conocido, Un saludo
luisriverag
26th March 2010 a las 9:59 am
8Requisito de las marcas quizás?
L
Christian
26th March 2010 a las 1:53 pm
9Eso es un “error” (en realidad no es un error, solo que quieren a toda costa que el usuario no sea “molestado” con nada antes de llegar a la campaña y que vean los productos) que se debería subsanar, de hecho es bastante fácil arreglarlo usando cookies para hacer el login.
En Offerum no cometemos ese error, cuando se manda el mail, reenviarlo no supone ninguna brecha de seguridad.
La semana en los blogs CCIV | RSS Tecnología
28th March 2010 a las 11:29 am
10[...] Buyvip tiene un problema de privacidad y seguridad con sus newsletters. En Tecnorantes. [...]
Jose Tienzo
28th March 2010 a las 8:31 pm
11Hola,
lo que comentais ocurre en TODOS los clubs de compras y en avrias emrpesas de comercio electronico. En air France tambien ocurre y es un tocho de empresa.
Yo agradezco este servicio.
Lo que la egnte debe hacer es no reenviar sus correos de sites de comercio electronico.
No se trata en si de un problema de seguridad de estas empresas, en mi opinion, sino del poco conocimeinto de losusuarios que reenvian todo. Te hacen la vida mas facil, ahora si tu lo reenvias es tu problema. A mi me mandan el email asi los de Privalia del que soy socio. Lo de BuyVIp no se , pero asumo que es como Privalia.
Saludos
Javier Flores
29th March 2010 a las 9:38 am
12Es cierto, el motivo pienso que es quitar cualquier obstáculo al comprador. Yo estoy registrado en 7-8 clubs de ventas y estoy registrado con 2-3 usuarios distintos, no es raro que entre en alguno en particular y no recurde la clave, y finalmente tras perder algun tiempo desista y acuda a otro, supongo que es eso lo que quieren evitar. Yo creo que ilegal no es, ya los datos van cifrados como pide la LOPD, el quiz sería saber si el juez tomará la clave como dato personal. De cualquier forma, si siguen por este camino acabaran pagando caro este “error” ya que generará mucha desconfianza entre los usuarios.
Cliente BuyVip
29th March 2010 a las 11:23 am
13Lo hacen todos estos outlets de compras para fomentar tener más pedidos y olvidándose de la ética, puesto que con las devoluciones también tienen negocio prefieren enviar un pedido que no te corresponde o no has hecho y se lo devuelvas debido a que en este caso te cargan el servicio de devolución que es mucho más que lo que les cuesta a ellos este servicio por lo que aun siendo devuelto les es rentable, quien acaba pagando las consecuencias de sus prácticas es el cliente, e incluso cuando no tienen la talla que solicitas te remiten otra talla distinta, porque prefieren que lo devuelvas que decirte que no tienen lo que significaría operación con cero ingresos, y los clientes meros instrumentos de su falta de ética empresarial.
Maria
29th March 2010 a las 3:12 pm
14Me parece un cometario muy interesante, pero me cabe una duda. ¿Cuando una persona reenvía un correo no está dando su constimiento a que quien pinche en ese link puede acceder a esta información?
En caso de que no sea así ¿Alguien sabe decirme como evitarlo?
David Canós
31st March 2010 a las 6:42 pm
15todo parece indicar que hay una cookie de por medio (ese checkbox de recordar contraseña).
Juan Luis intenta entrar con el mismo link desde otro navegador, no debería loguearte.
Psiconet
31st March 2010 a las 6:46 pm
16Has perdido una gran oportunidad, si hubieras incluido en el post el link verdadero seguro que alguien habría hecho un pedido con los datos (dirección de entrega) de tu mujer. Como la tarjeta no la guarda, no hay riesgo de perder dinero, sólo de recibir regalos
alpoza
21st April 2010 a las 12:57 pm
17Creo recordar que antes si te pedía usuario y password cuando venias de la newletter, pero como no entre frecuentemente nunca recuerdo el password… muchas veces no entro por no estar solicitando una nueva y demás… total, si al final nunca compro porque ropa por Internet con la política de devolución que comenta David Canós, no me interesa, demasiado riesgo y otro tipo de productos los puedes encontrar en otros sitios.
En definitiva, que parece que para evitar que no entres por no recordar el password o hacerte la compra más “fácil” obvian cualquier medida de seguridad y privacidad… Por un lado quieren hacerlo parecer exclusivo y bajo invitación y por otro que todo el mundo pueda entrar… yo ya me he dado de baja.
buyvip
23rd April 2010 a las 9:04 pm
18segun el BuyVIP es un club privado de compras que organiza de forma exclusiva para sus miembros, ventas de ropa, complementos de vestir y deportivos de las mejores marcas, a un coste que suele estar entre el 30% y 70% por debajo del precio de lista.
SEO Freelance
5th May 2010 a las 12:29 am
19Pues legal no creo que sea, y como bien dices una empresa de ventas online no debería caer en estas cosas. Es muy molesto.
RSS sindicación para comentarios en esta entrada · TrackBack URI
Dejar una respuesta
Patrocinadores
¿Quieres patrocinar Tecnorantes? Mas info aquí
Mis reseñas en Qype
Yo soy jlhortelano en Qype
Categorías
Archivos
Enlaces
Meta
Sindicación
Sitios Amigos
Calendario
Entradas Recientes
Comentarios Recientes
Las más comentadas
Tecnorantes está creado con WordPress - BloggingPro tema por: Design Disease. Traducción realizada por Carrero