Este artículo relata una experiencia de divulgación responsable de una vulnerabilidad crítica descubierta en el portal de miembros de una importante aseguradora de buceo, por parte de un instructor de buceo e ingeniero de plataformas. El autor, mientras realizaba un viaje de buceo, notó una falla fundamental en el proceso de registro de estudiantes. La vulnerabilidad radicaba en el uso de IDs de usuario numéricos secuenciales y contraseñas predeterminadas estáticas que no se obligaba a cambiar al iniciar sesión. Esto permitía a cualquier persona adivinar un ID de usuario y acceder a perfiles completos, incluyendo nombres, direcciones, números de teléfono, correos electrónicos y fechas de nacimiento, incluso de menores.
El autor, siguiendo un proceso de divulgación responsable, contactó primero a CSIRT Malta (la autoridad nacional competente) y luego a la organización directamente, proporcionando pruebas de concepto y un código simplificado (pero funcional) que demostraba la vulnerabilidad. El código, escrito inicialmente en Python pero finalmente utilizando Selenium para simular el comportamiento de un usuario real, automatizaba el proceso de inicio de sesión y extracción de datos del perfil. La gravedad de la situación se exacerbó por el hecho de que la información expuesta incluía datos sensibles de menores, lo que implicaba posibles violaciones del GDPR.
Aunque la organización abordó la vulnerabilidad, el autor expresa preocupación por la falta de confirmación de que los usuarios afectados fueron notificados. El incidente subraya la importancia de prácticas de seguridad robustas, como la imposición de cambios de contraseña al iniciar sesión, la implementación de límites de velocidad (rate limiting) y la autenticación multifactor (MFA). La historia sirve como un recordatorio de cómo incluso fallas aparentemente triviales pueden tener consecuencias significativas y de la importancia de la divulgación responsable para proteger la información personal de los usuarios. La anécdota también ilustra la convergencia inesperada entre pasiones aparentemente dispares, como la instrucción de buceo y la ingeniería de plataformas, y cómo esta combinación puede conducir a descubrimientos valiosos en materia de seguridad.