Escribí este post hace algunos días y lo dejé en borradores. Mejor publicarlo tarde que nunca.

Las noticias en Internet vuelan y lo que es actualidad un lunes, ya no lo es un jueves. Por eso este post puede parecer un poco obsoleto, ya que hace días que BuyVIP mandó un email a todos sus usuarios activos indicando que habían sido víctimas de un robo en el que les habían sustraído la información de sus usuarios. Fui CTO de BuyVIP durante un año y medio y por tanto soy especialmente sensible a estas cosas y en base a ello me gustaría compartir con vosotros mi opinión.

Información sustraída
Tal y como indica la propia BuyVIP en su comunicado, les han robado nombre, dirección de email, dirección de envío, fecha de nacimiento, teléfono y contraseña. Es decir, les han robado aquella información que tenían en la base de datos. Ellos mismos dicen que los datos de pago no se han visto afectados, pero creo que está mal expresado. No se han visto afectados porque BuyVIP no almacena esa información y por tanto al no tenerla no se la pueden robar. Yo hubiera remarcado este hecho, ya que creo que transmite más confianza al usuario.

Otro punto que merece la pena comentar es el de la contraseña. BuyVIP no almacena la contraseña en claro, si no encriptada con MD5 usando una semilla, dando por tanto un código alfanumérico de 40 caracteres. Un MD5 no se puede desencriptar y para saber si la password es válida lo que se hace es encriptar la recibida y comparar con la almacenada. Por tanto si alguien quisiera obtener la password debería hacer un proceso de prueba y error encriptando todas las combinaciones de letras y números (si no recuerdo mal hasta 100 caracteres) y compararlo  con lo almacenado. Eso suponiendo que tenga la semilla, ya que si no la tiene ni aún así se obtendría la password. En resumen, han robado la encriptación de la password, pero no la password real. Personalmente estoy tranquilo porque tengo claro que nadie va a obtener mi password en base a lo robado de BuyVIP.

Comunicación a los usuarios
Todo el mundo intuía que pasaba algo ya que tiraron voluntariamente la tienda un miércoles (hablo de memoria) y no volvió a estar operativa hasta el sábado, pero la gente pensaba que estaría relacionado con la apertura de la tienda de Amazon en España. El mismo sábado avisó a sus usuarios activos en los términos comentados, pero hasta varios días después no avisaron a los usuarios dados de baja. Ya comenté en twitter que pensaba que era un error ya que, si bien un usuario dado de baja ha decidido no recibir más notificaciones, estamos ante un hecho extraordinario y al fin y al cabo también han robado la información de los usuarios dados de baja. Pero lo más crítico de este hecho es que indirectamente BuyVIP ha reconocido que guarda toda la información del usuario a pesar de haber sido dado de baja. Me gustaría conocer la opinión de un abogado al respecto ya que esa información debería haber sido borrada con la baja y podría haberse hecho perfectamente ya que no debería afectar en ningún caso a la información financiera relacionada. Algún abogado en la sala que nos de su opinión?

Qué pueden hacer con la información robada
Si el autor del robo lo ha hecho con el fin de obtener datos de pago, la jugada le ha salido mal, pero si simplemente quería obtener una bbdd grande, cualificada y bastante completa de usuarios y compradores de toda Europa, le ha tocado el gordo, ya que BuyVIP tiene varios millones de usuarios en su base de datos. Esa información la puede vender a empresas de email marketing no muy legales para enviar publicidad. La pueden vender incluso a empresas de publicidad física que te envían cartas a tu buzón. Se pueden hacer muchas cosas y no me extrañaría que en los próximos días o semanas recibiéramos más spam del habitual.
Otra alternativa es usar esa información para obtener todavía más info por physing, mucho cuidado con las próximas notificaciones que recibáis en el email pidiendo confirmar datos.

Espero que dentro de unos meses todo quede en una anécdota y los problemas no vayan a más para BuyVIP.