La noticia más grave de este fin de semana en el mundo de los videojuegos no pasó desapercibida para nadie. La Entertainment Software Association -los organizadores de E3- filtraron por equivocación una lista con datos personales de cientos de periodistas que asistieron al E3 este año.
Gravísimo: Filtran datos personales de miles de periodistas asistentes a la E3 2019
Un fallo en la seguridad de la página de E3 habría permitido la filtración de miles de datos personales de los periodistas que se registraron.
Por supuesto, en esa larga lista de nombres estábamos nosotros. Los datos de nuestra oficina, número de teléfono y correo quedaron expuestos: información que uno supone segura a la hora de acreditarse.
En nuestro caso, las repercusiones fueron y serán menores. En casos como los de creadores de contenido, que entregaron sus datos personales, el problema es mucho mayor. La mayoría ha tenido que transformar los memes en realidad: cambiar el teléfono, sus cuentas de correo; sus métodos de comunicación usuales.
¯_(ツ)_/¯ #E3 pic.twitter.com/PPqNrUFepc
— Steve Kim (@Fobwashed) August 3, 2019
Todo por una filtración que ni siquiera fue malintencionada en principio, o que haya necesitado de hackers. Ante esa perspectiva, pasa lo que siempre pasa: nos toca a nosotros asumir los costos de un sistema para nada seguro.
La ESA nos pidió disculpas
Sólo horas después de la filtración, nos llegó un correo electrónico de parte de la propia ESA, ofreciéndonos sus disculpas. A saber:
Periodista registrado en E3 –
La Asociación de Software de Entretenimiento (ESA) se enteró ayer de una vulnerabilidad en la sección del portal del expositor del sitio del E3. Desafortunadamente, una vulnerabilidad fue explotada y esa lista se hizo pública. Lamentamos que esto haya sucedido y lo sentimos.
Proporcionamos a los miembros y expositores de la ESA una lista de medios en un sitio de expositores protegido con contraseña para que puedan invitar a eventos de prensa de E3, conectar contigo para entrevistas y hacerte saber lo que están exhibiendo. Durante más de 20 años nunca ha habido un problema. Cuando nos enteramos, retiramos el portal de expositores de E3 y nos aseguramos de que la lista de medios ya no estuviera disponible en el sitio web de E3.
Nuevamente, nos disculpamos por las molestias y ya hemos tomado medidas para garantizar que esto no vuelva a pasar.
Hay que ser categóricos: si bien las disculpas se agradecen, esto no soluciona en lo absoluto un problema que jamás debió haber existido. La lista no tenía ningún sistema de seguridad por sobre ser “privada”: no requería de contraseña, no descansaba sobre otro sistema más seguro, no tenía un método diferente de autenticación. Era un liso y llano archivo Excel.
Si la ESA quería poner nuestros datos a disposición de expositores -algo que nosotros aceptamos al acreditarnos- podría hacer esfuerzos por mantenerlos seguros. Sólo bastaba una contraseña única, disponible a través de un canal físico -como una autenticación de dos pasos- para protegernos.
Crimen y (ningún) castigo
Lo cierto es que independiente de las mil disculpas enviadas por la ESA, no hay realmente un sistema infalible para castigar a las empresas que hacen mal uso de nuestros datos. En el caso chileno, todos los años vemos renacer filtraciones de bases de datos aparentemente seguras.
Sitio de seguridad extranjero alertó sobre exposición de más del 80% del padrón electoral chileno del Servel
Una investigación de la empresa de seguridad Wizcase alertó que más de 14 millones de datos están expuestos en el servidor Elasticsearch.
Por su parte, la legislación en Chile va por buen camino pero se ha ido estancando. El proyecto de ley que crea una Agencia de Protección de Datos Personales -es decir, la primera línea de defensa ante estos problemas- sigue en su trámite constitucional desde el año pasado.
Si cruzamos el Atlántico, nos daremos cuenta que Europa nos lleva bastante ventaja. El GDPR, la regulación de datos europea que ya puso entre las cuerdas a Facebook, podría ser de ayuda en este caso. Según un reporte de VentureBeat, el ente regulatorio europeo tendría jurisdicción ya que el sitio de la ESA es accesible desde Europa, y la filtración contiene información de miembros europeos de la prensa.
El GDPR es categórico en este caso: si una empresa recolecta datos personales de ciudadanos de la Unión Europea, debe cumplir con ciertos estándares. Ante ese panorama, la ESA podría pagar hasta 20 millones de euros por esta la violación a la privacidad.
Dicho castigo, al menos mirando la desregulada vereda estadounidense, sería el único realmente concreto.
Source: fayerwayer