BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Bugs/Devel

Posible filtrado de datos de usuarios de bandaancha

Amenhotep
1

He visto que cuando se pulsa en el nombre de usuario de bandaancha la url del perfil es del tipo:

https://bandaancha.eu/usuarios/TEXTOUSUARIO-NUMEROUSUARIO

Siendo TEXTOUSUARIO el usuario del correo electrónico con que se registró el usuario sin el dominio. Por ejemplo si te registraste con , TEXTOUSUARIO parece ser pepitogomez.

Puesto que la mayor parte de los correos son hotmail.com, gmail.com, outlook.com… bastaría con unas pocas alternativas para tener una base de datos de posibles correos de usuarios del foro (quizás 4 o 5 posibilidades de correo electrónico por cada usuario). Por ejemplo se podría probar:

Seguramente el 90% de los usuarios se encuadra en esas posibilidades.

¿Qué os parece? ¿Es una fuga de información personal o no? Digamos que se pierde parte del anonimato porque hay gente que se habrá registrado con un correo que incluya su nombre y apellidos como pgomez o incluso

Solución propuesta: generar una URL aleatoria para cada usuario que no dependa del usuario de su correo electrónico.

superllo
1

En mi caso no es así pero igual me ha puesto el login del correo de bandancha en vez del personal.

FuNkeTeRo

No en mi caso. Dale a mi nick y dime qué te sale, y te confirmo.

BocaDePez
BocaDePez

Si te vas a la info legal dice: "Para obtener un alias solo se requiere una dirección de email válida que no contenga datos identificativos como tu nombre o apellidos.", precisamente a colación de esto. La realidad es que filtrar parte de la dirección de correo aunque esta no contenga nombres o apellidos es totalmente ilegal según mi interpretación de la LOPD. Lo mismo con las direcciones IP, que también se filtran en parte a los usuarios registrados.

Anajzen
1

No funciona como describes.

La variable TEXTOUSUARIO a la que haces referencia en tu descripción, en realidad no se corresponde con el email, sino con el primer nombre de usuario que has elegido al registrarte en Bandaancha. Esto quiere decir que, aunque modifiques tu nombre de usuario, la combinación TEXTOUSUARIO-NUMEROUSUARIO no va a cambiar, ya que el primer nombre de usuario sigue siendo el mismo.

En lo que sí puedes tener algo de razón es en que si has modificado el nombre de usuario porque el primero filtraba información personal, alguien podría utilizar la información del primer usuario elegido para hacer stalking o similar, aunque hayas modificado el nombre con posterioridad al registro.

Mi opinión es que sería buena idea que la variable TEXTOUSUARIO coincidiera con el nombre de usuario actual, no con el primero. El número de usuario sí que se podría dejar el mismo para identificarlo.

Saludos.

🗨️ 6
BocaDePez
BocaDePez

Eso es así para usuarios muy antiguos, pero no para los de los últimos años. Ejemplo: Ivan R

🗨️ 5
Anajzen

En realidad no.

Si entras en la información de usuario del OP, en la url aparece su primer nombre usuario (dem*** ), que es distinto del actual, y pone que se registró hace sólo 9 meses. Por eso el motivo de su consulta.

🗨️ 4
BocaDePez
BocaDePez
1

Creo que me he explicado mal. Dices:

La variable TEXTOUSUARIO a la que haces referencia en tu descripción, en realidad no se corresponde con el email, sino con el primer nombre de usuario que has elegido al registrarte en Bandaancha. Esto quiere decir que, aunque modifiques tu nombre de usuario, la combinación TEXTOUSUARIO-NUMEROUSUARIO no va a cambiar, ya que el primer nombre de usuario sigue siendo el mismo.

Pero al registrarte no se te da opción de elegir un nombre de usuario. Se te pone automáticamente la primera parte de tu email. Por lo tanto es inevitable que en la URL de tu perfil aparezca parte de tu dirección de correo.

🗨️ 1
Amenhotep

Me has pillado. Me registré hace 9 meses pero he sido BocaDePez desde que empezó bandaancha a principio de siglo con el mítico .st

🗨️ 1
BocaDePez
BocaDePez
Kumiko Oumae

pues en mi caso se cumple ya que nunca he usado el que sale…

Josh
6

El sistema utiliza el nombre del correo para generar un primer nombre de usuario, pero no lo utiliza directamente, le hace varias modificaciones eliminando caracteres no permitidos y añadiendo números para hacerlo singular en la db. Aunque se pide que no uses un email que contenga datos identificativos, entiendo que más de uno lo hará y no le gustará ver sus datos en la URL (más de uno me ha pedido modificarlo), que por otro lado no son indexados por buscadores.

Lo cambiaré para que se regenere y que coincida siempre con el nombre de usuario. Gracias por señalarlo.

🗨️ 2
Anajzen

Gracias a ti por tenernos en cuenta :-)

Amenhotep

Gracias a ti Josh.