En los últimos días he podido comprobar algo que me ha dejado de piedra. Por casualidades varias, dos amigos con dos empresas totalmente distintas entre sí, tenían contratado un dominio y un host con Retecal. Uno de ellos hace varios meses que se dió de baja, pero quería trasladar el dominio a otros servidores por lo que se puso en contacto con Retecal, pero le dijeron que al darse de baja como cliente perdía todos los derechos sobre ese dominio, cosa totalmente errónea ya que el dominio está a su nombre.
Ahora viene lo curioso: entramos en Nominalia para hacer un whois al dominio y ver dónde lo tienen registrado con el fin de ver si hay alguna manera de solicitar las contraseñas para cambiar las DNS nosotros mismos. El dominio está con Networksolutions. Entramos y usamos el "recordar contraseñas".
Primero nos envían a una dirección de correo que hemos dado nosotros un numero ID, y a continuación hacemos la misma operación con la contraseña, a lo que pide la respuesta para una pregunta "secreta". La pregunta es: "¿cuál es tu ciudad de nacimiento?", por probar metemos la ciudad de la que somos, y desde la que hemos contratado el dominio, y voilà, tenemos acceso al dominio para cambiar DNS; admin. Contact. y todo lo normal del dominio.
Hasta aquí todo podría ser normal, lo curioso es que llamamos a un amigo común que también tiene contratado con ellos, le decimos lo que ha pasado y le pedimos permiso para probar con su dominio, y se corroboran nuestras sospechas: otro dominio, misma pregunta secreta, misma respuesta, y curiosamente los dos dominios están registrados por la misma persona de Retecal.
No sé qué pensáis pero ésto que hemos hecho nosotros con nuestro dominio lo ha podido hacer cualquiera este tiempo y seguro que hay muchos más ejemplos. Retecal debería tomar cartas en el asunto.
Hemos enviado un mail a Retecal comentándoles ésto. ACTUALIZACIÓN: Recibimos una nueva comunicación del mismo usuario que nos remitió la noticia, comentándonos que ellos ya se pusieron en contacto con Retecal en su momento para contarles esto, y que no recibieron respuesta de la empresa. Nos cuentan también más experiencias: "esta tarde lo hemos comprobado con un dominio nuevo, y la cosa ha ido a más, al tener los datos del dominio anterior en el que también aparecía la tarjeta de crédito; la pregunta secreta era "los 4 últimos dígitos de la tarjeta" y metimos los dígitos que había en el registro y también nos dió acceso. Misma Persona, mismo error."
