sábado, 30 de julio de 2016

Que Domino's Pizza no te robe ni una porción de tus datos

Hace unos días, salí a cenar con mi pareja y disfrutar de un poco de tiempo libre y descansar por unas horas-un descanso bien merecido-. Como no sabíamos a dónde ir, decidimos buscar los dos información de los mejores sitios de nuestros alrededores para ir a cenar. Ella me ofreció la posibilidad de ir a Domino's Pizza, pues, según ella, la comida es buena. Además, me dijo que podríamos hacer el pedido por Internet, lo que despertó en mi una gran curiosidad por analizar primero la seguridad de Domino's Pizza. Y es sobre lo que me gustaría hablar hoy en este artículo.



Nada más entrar en la web, vi que iba con HTTP, lo que quiere decir que el protocolo TLS/SSL no lo usan, lo que aseguraría que en tránsito, las credenciales van seguras, a no ser claro está, que hackeen el tiempo. Así que decidí registrarme en la web, principalmente para, mediante el analizador de tráfico de red WireShark, ver qué datos podría obtener del registro un atacante que hubiese entrado en mi red wifi o lo que podrían ver si me hubiese conectado a una red wifi pública.


El comienzo no es del todo bueno, ya que empezaba mostrando donde resido-pues es un dato que debes rellenar en su formulario de registro-. Algo que no es bueno, pues cualquiera que estuviese analizando la red, podría ver donde vivo y ¡¿por qué no?! robar mis posesiones de mi casa. Muy mala pinta.


Conforme avanzaba, cada vez, tenía peor pinta, no mejoraba nada, pues en los datos más personales del cliente, muestra su nombre, apellido, teléfono, email, fecha de nacimiento y la contraseña, datos que una vez que los pierda jamás los podré recuperar.

Me puedo cambiar el nombre, sí; me puedo cambiar el teléfono, sí; me puedo cambiar el email,sí; pero no me puedo cambiar la fecha de nacimiento, no puedo nacer otro día...a no ser que alguien hackease los relojes de los médicos.


Me parece además, muy mala medida que tengas que escribir dos veces la contraseña por si te equivocas, pero el email, con el cual podrás recuperar la contraseña por si te hubieses equivocado, solo se introduzca una vez.

Y es que pongámonos en la situación de que me equivoco al introducir mi correo electrónico. Cuando haya finalizado el registro, le enviarán un correo a la persona que posea el correo que haya introducido, y podrá, de manera muy sencilla recuperar la contraseña. Pues solo le bastará con pulsar en ¿Olvidaste tu contraseña? e introducir su email.




Posteriormente recibirá un mail de Domino's-el cual no ha sido cifrado tal y como muestra el candadito rojo, algo muy pero que muy malo, pues cualquiera podría leer el mensaje y recuperar la contraseña-. En ese mail, podrá pulsar en el enlace que proporcionan, pero reitero, el mensaje no ha sido cifrado y aún así cabe la posibilidad de que sea un mail de Phishing, algo que veremos más adelante.


Y finalmente, tendrá que escribir la nueva contraseña-ojo, en el momento de volver a escribir la nueva contraseña, la web de Domino's Pizza España sigue en HTTP, con lo que cualquiera podría ver la nueva password- y tendría acceso a mi cuenta y comprar Pizzas sin parar para que la envíen a mi casa, pues le proporcioné donde vivo ya que era obligatorio y que me haga que pague 10 pizzas. Podría terminar arruinado por culpa de las pizzas...¡Y dile tú al pizzero que tú no has pedido ninguna pizza!

Pero retomemos el tema por donde lo dejamos, y es que al concluir el registro, Domino's Pizza te enviará un mail, el cual no ha sido cifrado.


Esto nos podría hacer pensar que es un correo de Phishing, pero esto lo veremos en nada, pues debo terminar con qué es lo que aparece en el mail que me envían Domino's.


Domino's Pizza pensó que sería buena idea, enviar datos como mi usuario, mi número de teléfono y donde vivo, en un mail el cual no ha sido cifrado y que podría leer cualquiera analizando la red.


Además, si quisiéramos cerciorarnos de si se trata de un mail de Phishing o no, Domino's no nos lo pone fácil, pues tal y como se lee en pantalla, no se puede designar a la IP emisora del mail, como un emisor permitido, lo que nos deja con más dudas, ya que puede que no usen un filtro SPF-es este el caso- o que se trate de un mail de Phishing, algo que no sabremos con total seguridad, siempre tendremos cierta incertidumbre, como Heisenberg.


Además, nos muestran también un código de error, el cual nos hace darnos cuenta que se trata de un IIS y que están usando tecnología Microsoft.


Pero por si nos quedásemos con la duda, nos podríamos asegurar escribiendo el dominio en BuiltWith y listo.

Esto debería ser motivo suficiente para que más de uno y más de una, no vaya a comer a Domino`s Pizza, pues por mucho menos, a otras personas se les ha sentenciado para toda la vida a que no se vuelvan a hablar. Esto, además demuestra que el español es un cateto y un inculto y que le gusta serlo. Por favor. tú no seas un español más y preocúpate por tu seguridad y por la de los demás, tú eres mucho más inteligente.

¿Hackeamos el mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...