Pagina para ver los puntos

[djrico]

https://puntos.dgt.es/tramites/permisos/ppp_sin_cert.htm

En el nº de permiso es el DNI con la letra

Y la fecha de la PRIMERA expedicion del permiso

Agun hacker para entrar en la base de datos y modificarlo ?????

[Alberto2006]

Lo acabo de mirar ...... :yahoo:

Ya tengo:

12 puntos de la DGT,

6.500 puntos de Vodafone,

6.900 puntos de Iberia Plus y

350.000 de Hoteles Meliá.

Lo siento pero de Turyocio no tengo tarjeta.

:meparto: :meparto:

Saludos,

Alberto

[supertole]

Yo no aparezco como registrado???

[rikitaun]

Yo no aparezco como registrado???

Pos yo sip

Doc. Identificación : 6666969X

Nombre : PERE

Apellidos : NAVARRO

Saldo de Puntos : 12

[HiNote]

Menuda chapuza de página. Hasta para entrar en las páginas de puntos de MoviStar, Vodafone hay más seguridad...

[eninchi]

Este tipo de información, así como otras informaciones donde sale tu nombre e información acerca de tu persona podría ser motivo de incumplimiento de la LOPD (Ley Orgánica de Protección de Datos) y quizás sea denunciable .

[darkxsun]

Este tipo de información, así como otras informaciones donde sale tu nombre e información acerca de tu persona podría ser motivo de incumplimiento de la LOPD (Ley Orgánica de Protección de Datos) y quizás sea denunciable .

Además abre la puerta a que las aseguradoras lo consulten, cuando yo creo que no tienen derecho y que ajusten sus pólizas a ello.

Saludos

[joset]

No soy precisamente un experto en informática, pero si que trabajo con ella a diario. Y en mi trabajo necesitamos unas estrictas medidas de seguridad y controles. Y a mi humilde entender, poner una base de datos con acceso desde internet que contenga tan importante información, es una temerdidad. No hablemos de que llegue el cracker de turno y la pete, porque si te metes tu y te subes los puntos es solo cosa tuya, pero como se meta algún cabroncete y se ponga a quitar puntos a diestro y siniestro....

Por cierto, ¿algún experto en informática por aquí?.... JEJEJE

[darkxsun]

No soy precisamente un experto en informática, pero si que trabajo con ella a diario. Y en mi trabajo necesitamos unas estrictas medidas de seguridad y controles. Y a mi humilde entender, poner una base de datos con acceso desde internet que contenga tan importante información, es una temerdidad. No hablemos de que llegue el cracker de turno y la pete, porque si te metes tu y te subes los puntos es solo cosa tuya, pero como se meta algún cabroncete y se ponga a quitar puntos a diestro y siniestro....

Por cierto, ¿algún experto en informática por aquí?.... JEJEJE

El riesgo no es ese, normalmente una base de datos de este estilo, no es productiva, es decir es una copia de sólo lectura, que aunque se borrase no pasaría nada.

El riesgo está en que alguien se haga con una lista de DNIs (cosa nada difícil), y fechas de expedición (p.ej. alguien que trabaje en una aseguradora). Podría hacer una descarga masiva de datos y usarla a su favor. En USA, p.ej. los códigos de seguridad social estan muy protegidos, porque a partir de conocer uno, puedes abrir cuentas o cosas por el estilo. Aquí los DNIs, son más fáciles de obtener, p.ej. hay facultades que publican notas por DNI...

Saludos

[eninchi]

Cuidado, socios, que el hacking es un tema relativamente peligroso. Se puede entrar en casi todos sitios. Es cuestión de encontrar la vulnerabilidad que te permita acceder con privilegios suficientes en un servidor.

Es un tema controvertido porque es un delito que en caso de pillarte puede convertirte en cabeza de turco y la policía científica te puede pillar fácilmente, salvo que utilices técnicas de anonimato como "surfing web", salir por proxies de paises no colaboradores como Cuba, Taiwan, etc. que impiden que se pueda llegar al equipo de origen.

Es decir, que independientemente de la dificultad en poder entrar, lo primero en lo que piensa un hacker es en no ser "pillado". Hay servidores, como el de cierto club de fútbol 1ª división que con técnicas de SQL inyection se pueden tirar abajo fácilmente, pero repito que estás jugando con la legalidad y te pueden empapelar si no eres un verdadero experto.

Por otra parte, si tu entras a un servidor y no tocas nada, es difícil que te puedan imputar algo. Normalmente esa es la primera fase. Luego si realmente quieres tocar algo planificas mejor el ataque.

Tocar a un organismo oficial es muy arriesgado, aunque el administrador de turno sea un cafre y te deje las puertas abiertas.

[joset]

Teneis razón, es increible la ligereza con la que colocan tus datos al alcance de cualquiera.

En cuanto al hacking, algo se de esto que cuentas, pero gracias por las aclaraciones, no vaya a ser que algún pobre inocente se le ocurra....

Saludos.

[ikermadrid]

no digais tonterias, nadie va a hackear la BBDD de los puntos, lo primero eso tiene que estar con la mayor proteccion posible, y utilizaran tecnicas para detectar intrusos, los que entendais del tema sabeis de que hablo.

lo que si que se puede hacer es luchar de forma legal, porque se puede

habreis visto que hay dos paginas para ver los puntos, con certificado fdigital y sin el, pues bien la pagina sin certificado digital viola claramente la LOPD (ley organica de proteccion de datos) y seguramente tambien la LSSI(ley servicios de la sociedad de la informacion)

no se pueden facilitar datos personales de los ciudadanos sin saber de forma fidedigna que la persona que se encuentra delante del pc es realmente quien dice ser, para ello hay formas rudimentarias de saberlo, aunque no tienen validez juridica y el nivel de seguridad es bajo, estas son las claves, vamos un password como el de registro de esta web, en teoria solo tu sabes el password, pero se entiende que la persona que esta delante es quien dice ser

vamos, cuando yo aqui pongo nick: ikermadrid password: xxxxxxxx el foro y el administrador y vosotros sabeis que soy yo, si no doy mi pass a nadie nadie podra entrar, no obstante creo que por condiciones de la lssi no es aplicable en este caso al no ser cifrada la conexion, aunque siempre se podria aplicar un ssl, pero CREO que no es valido para datos personales de este ambito

eso si la mejor forma seria mediante un certificado digital, que tiene validez legal, se basa en claves publicas privadas y en las entidades certificadoras de confianza (si alguien quiere saber mas le podria pasar algun trabajo sobre esto , perdirlo por mail ) basicamente una entidad de la que nos fiamos todos certifica tu identidas, en españa la mas comun es la FNMT (fabrica nacional de moneda y timbre) aqui te registras de dan un codigo vas a una oficina de registro con tu dni (hacienda, seguridad social, comisarias de policia nacional...) y firmas un pequeño contrato y despues te descargas tu certificado unico e intrasferible en tu ordenador

asi cuando conectas a una web que necesita certificacion (te sale un aviso en el navegador) mandas tu clave publica y este la comprueba con el certificador y la transmision es crifrada y solo la puedes desencriptar tu, a parte saben de forma fidedigna que eres tu, de esta forma es posible que telematicamente te den datos personales tuyos, como el saldo de puntos, o un informe de vida laboral, o una copia de tu empadronamiento si tu ayuntamiento tiene este servicio.

resumiendo y dejando de lado tecnicismos, ese medio de consulta web no es segura ya que no saben realmente a quien dan la informacion y por ello incumple diversas leyes de proteccion de datos

por mi parte he mandado una queja a traves del servicio de atencion al ciudadano a traves del mir, si en 15 dias no se soluciona mandare un escrito a la agencia de proteccion de datos y al defensor del pueblo, no quiero que mis datos personales sean vistos por entidades como las aseguradoras sin mi consentimiento, si quieren ver mis puntos que me los pidan y ya estimare yo oportuno decirle cuantos tengo o no

un saludo

[scharlie]

Dime cómo te va con el tema y si lo solucionan de alguna manera o no, pues yo tampoco estoy dispuesto a que alguien que no sea yo (y sobre todo una aseguradora) pueda tener acceso a mi saldo de puntos...

Un saludo

[ikermadrid]

scharlie en la pagina del mir www.mir.es arriba te sale un mail y un telefono de atencion al ciudadano ahi mande el mail y me han respondido que lo pasan a quien corresponde para estudiarlo

la agencia estatal de proteccion de datos tambien tiene web y el defensor del pueblo lo mismo

en mi casa me llaman loco, dicenq ue si al final una aseguradora quiere que le de mi saldo de puntos me dira o me das un certificado o no te aseguro, pero la cosa no queda ahi, en ese momento si decido darselos se los estare facilitando yo libremente, cosa totalemnte a que ellos accedan a mis datos sin tener que pedir mi permiso

saludos a todos

[darkxsun]

en mi casa me llaman loco, dicenq ue si al final una aseguradora quiere que le de mi saldo de puntos me dira o me das un certificado o no te aseguro, pero la cosa no queda ahi, en ese momento si decido darselos se los estare facilitando yo libremente, cosa totalemnte a que ellos accedan a mis datos sin tener que pedir mi permiso

De locura nada, hay determinados datos que son confidenciales y que sólo por pedírtelos, los podrías denunciar, p.ej. si te piden un análisis de sangre, les podráis montar un pollo de narices. De hecho por temas de Lortad, p.ej. ponen multas del copón si revisan las aplicaciones de una empresa y no tiene un indicador de "El cliente no desea recibir publicidad", para que lo puedan registrar.

Un amigo me comentaba p.ej. que intentan descubrir p.ej. en cuestionarios si eres drogadicto, con preguntas p.ej. "¿Te parece que a veces un brazo es más largo que otro?". No pueden preguntarlo abiertamente porque sería discriminación, puesto que una enfermedad puede no inhabilitarte para hacer un trabajo determinado.

Resumiendo, yo creo que las aseguradoras no pueden usar esa información para fijar tu póliza, y si lo hacen, no te dirán que es porque lo han consultado. Si tú descubres que lo han hecho, p.ej. comparando con un hermano gemelo que le hacen un precio diferente, yo creo que se les podría demandar también...

Saludos

[juinta]

Yo tengo un brazo más largo que otro...

El mundo está loco...que pare que me bajo...

[joset]

Ostras, y yo tengo un pie más grande que el otro.... el derecho

[Alberto2006]

Yo creo que la DGT y las compañias de seguros sólo deberían de hablar de un tema entre ellas:

Comprobar que cada uno de los coches que están en circulación tiene asociado un seguro (al menos el obligatorio) y que la ITV está pasada y en regla.

Saludos,

Alberto

[__Pedro__]

No merece la pena, dejarían sin circular a un montón de vehículos que pagan impuestos con el combustible que queman.

[chatarras]

Pue yo tambien tengo un pie mas largo que los otros, el del centro:meparto: :meparto:

[ikermadrid]

bueno como veo que pasan del tema he pasado al ataque

os cuento en cuanto en cuanto conteste que aqui si tienen derecho y obligacion a contestar ya que el mensaje va firmado electronicamente y por tanto queda constancia que lo mande (por el certificado de ellos)

[Getares]

bueno como veo que pasan del tema he pasado al ataque

os cuento en cuanto en cuanto conteste que aqui si tienen derecho y obligacion a contestar ya que el mensaje va firmado electronicamente y por tanto queda constancia que lo mande (por el certificado de ellos)

¿porque no pones el mensaje que enviaste para que el que quiera se adhiera y lo reenvíe?, por ejemplo a mi me interesa.

[ikermadrid]

muy buenos dias

Le remito a usted como defensor legitimo del pueblo español la presente queja, por llamarlo de alguna forma, en relacion de la actuacion de determinadas administraciones en el proceso de consulta via internet de datos de caracter personal, y por tanto confidenciales, de los ciudadanos.

En concreto me refiero a la Direccion General de Trafico y su pagina web disponible para la consulta de los puntos del nuevo carnet, la url de la pagina web al efecto es la siguiente http://www.dgt.es/tramites/ppp/permiso_puntos.htm, en ella podrá observar que hay dos formas de consultar el "saldo" de puntos, una opcion con un certificado digital como el que tienen ustedes implementado para el proceso telematico de quejas por internet, y otra opcion sin certificado digital.

Esta ultima opción es la que me preocupa, y me consta que preocupa a mas ciudadanos, mediante ese apartado web, tan solo con rellenar el numero de permiso, que como bien sabe todo el mundo es el dni sin la letra, y la fecha de expedicion del carnet, se nos muestra en pantalla datos personales como nombre y apellidos, y puntos restantes.

Aparentemente igual puede parecer que no hay problema alguno, hasta que se analiza esto detenidamente, en nuestro pais es de obligatoria contratacion un seguro obligatorio para poder circular, para ello debemos facilitar a las aseguradoras una serie de datos con el fin de evaluar el riesgo y asi darnos un presupuesto del seguro, entre estos datos se encuentra nuestro permiso de conducir, y la fecha de expedicion, y ahi es donde aparece el problema, si tienen estos datos pueden consultar el saldo de los puntos del asegurado, o interesado en ser asegurado, sin ni siquiera pedir consentimiento para ello, ya que disponen de los datos necesarios para que una administracion, como la DGT, se los facilite sin ninguna pega; No olvidemos que las aseguradoras no son mas que empresas privadas, con la excepcion del consorcio de compensacion de seguros, y dejar datos personales de tal relevancia como el saldo de puntos del carnet de conducir a una empresa de esta indole, puede llegar a traer problemas al ciudadano a modo de primas de seguro mas caras, o directamente negativas a la hora de asegurarlo.

Una sencilla solucion seria un registro web donde se mandara al domicilio del ciudadano una clave para poder entrar y consultar los puntos, o directamente la solicitud de un certificado digital, proceso que no lleva mas de 10 minutos tanto en su fase "online" como en su fase presencial en la oficina de registro, pero de esta manera si una aseguradora o cualquier otra empresa quiere saber el saldo de puntos, debera pedirlo al ciudadano, si es que por ello no incurre en algun tipo de delito, y en este caso el ciudadano decidira libremente si facilita, o no, su informacion personal y confidencial.

Por ultimo, y por si no ha quedado clara mi postura, permitame un ejemplo parecido, imaginese que la seguridad social crea un formulario web para ver el historial medico de un paciente y que para ello haya que introducir su dni y su fecha de nacimiento, por ejemplo, ¿no cree que esa informacion podria caer en manos ajenas de una manera bastante sencilla? , bajo mi punto de vista nos encontramos en el mismo supuesto de falta de "proteccion" en la comunicacion de datos personales

Sin mas y agradeciendole la atencion prestada

Reciva un cordial saludo

<nombre>

<email>

-----

eso es lo que he mandado y similar a lo que mande anteriormente al mail de atencion al ciudadano del mir, como estos no respondia crei oportuno mandarlo a otros lares

el documento quedo firmado digitalmente ya que tengo un certificado digital de la fnmt,por tanto esto me vincula tanto a mi como a ellos en el envio y recepcion del escrito hecho a traves de su formulario web, te piden un monton de datos para poner la queja/reclamacion, y te indican que te mandan un "localizador" para saber el estado, como lo realice el viernes noche supongo que hasta el lunes no me lo mandaran al mail, tambien te dicen que responderan mediante correo tradicional

tengo preparado otro para la agencia de proteccion de datos, pero que basicamente dice lo mismo, a parte quiero mandar otro a alguna revista del motor, aunque si me pongo se me alargara demasiado como otro que he mandado a varios medios sobre la politica del terror de la dgt (esto antes de los puntos).

pediria que si alguien va a mandarlo, intente personalizarlo un poco, tened en cuenta que es queja formal ante el defensor del pueblo, y no me gustaria que por mandar muchos lo mismo pasaran del tema, o se tomaran a coña esto, teneis una base, modificarla comentando el tema con vuestras palabras y mandarlo

un saludo

[Sistema]

http://www.larazon.es/noticias/noti_soc15612.htm

[iguanapeluda]

jjajajajaj, como mola!