Parece que los responsables de Ferrocarrils Catalans de la Generalitat de Catalunya (FGC), han decidido calmar los ánimos de los sufridos usuario, ofreciendo una compensación equivalente a 1/3 de los billetes que se consuman entre el 1 de diciembre, y 1 mes después a la solución de la incidencia, en el tramo afectado.
Como novedad, han implementado un sistema electrónico online, bajo el sugerente nombre de Campanya de Compensació, que permite hacer el intercambio a la antigua usanza: Se rellena el formulario, y luego se entregan presencialmente los billetes usados.
Para más inri, han sido de los pocos en atreverse hoy día, a poner una web en público, funcionando bajo Microsoft Access, y eso que el número de afectados es superior a los 20.000… ¡Sólo espero que sea la minoria los que use el sistema electrónico, y no haya problemas de concurrencia!
El toque final, lo dan con un sistema, que es vulnerable a ataques de SQL Injection… Que Dios nos pille confesados, si un desalmado no dedice hacerse con los datos personales de los afectados.
Como ya empieza a ser habitual he notificado el problema desde el formulario de contacto, marcando que deseo respuesta, les envío a primera hora del 03/12/2007 el siguiente email:
Les comunico que su nuevo site campanyacompensacio.com, tiene serios problemas de seguridad contra atraque de SQL Injection.
Debido a la naturaleza privada de los contenidos de la base de datos, les agradecería que revisaran su implementación lo antes posible.
Gracias.
Dos días después, el 04/12/2007 a última hora de la noche, recibo respuesta desde una dirección de hotmail:
Hola,
Recibimos un consejo tuyo a través del web de FGC acerca de una posible vulnerabilidad del nuevo sitio "campanyacompensacio.com". Lo primero, te agradecemos la indicación, por supuesto. Hemos incorporado algunas protecciones en este sentido y confiamos haber resuelto el problema. De todos modos, si consideras que no es suficiente, te agradeceremos nuevamente tus sugerencias.
Saludos cordiales.
Todo apunta a que el desarrollo del site, ha sido encargado a un freelance, que en sus ratos libres da soporte al mismo… Seguro que se han ahorrado mucho dinero con esta medida, pero, ¿Realmente estamos tranquilos sabiendo que nuestros datos personales están gestionados de forma deficiente?
Actualizado a jueves 21 de diciembre de 2007. 22:04:
Hoy he tenido respuesta de la Coordinadora de Atención al Cliente de FGC, al respecto de mi notificación. Por algún motivo que desconozco, ha decidido responderme en catalán, a pesar de que me puse en contacto con ellos en castellano. Ésta ha sido su respuesta:
Donem resposta al vostre correu electrònic del passat dia 3 de desembre.
Pel que fa al cas, des d'FGC us agraïm el vostre correu electrònic referent al site de la campanya de compensació i us fem avinent que tant aviat el varem rebre el vam trametre als seus responsables, que ens consta que van solucionar la incidència l'endemà mateix..
Basicamente agradece mi reporte, y comenta que el problema fue solucionado al día siguiente mismo, a pesar que la respuesta del técnico/freelace tardase dos días en llegar…