Recapitulemos. Por que Gecko la ha cagado de tantas formas, que es difícil no verlo.
Un usuario encuentra "por casualidad" una forma de acceder a los datos de usuario. Primer punto discutible. Un usuario no intenta acceder al panel de administración "por casualidad". Hay una intencionalidad obvia, y eso puede ser interpretado como hacking por cualquier juez. Por muy simple que sea la forma de acceder.
Luego, y con fines aún no aclarados, saca copia de los datos allí contenidos. Y van dos. Como bien se ha dicho, una cosa es que encuentres una puerta de un coche abierta, y otra bien distinta que te metas y te lo lleves. Y ni eso. Antes, habías buscado la "llave". Y lo que es peor en este caso, has accedido a datos privados de caracter personal a los que no tienes acceso legalmente. ¿Y por qué digo eso si la puerta estaba "abierta"? (que va a ser que no a efectos legales). Pues por que en una BD registrada en la LOPD (y no me cabe duda de que esta lo estaba), únicamente tienen acceso de forma legal su administrador, y aquellos usuarios que él mismo designe. Por ejemplo, si te encuentras un CD con datos por la calle y no lo entregas de inmediato, el simple hecho de introducirlo en tu ordenador es delictivo. Podéis informaros si queréis. Yo ya tuve que hacerlo (y bien a fondo) por motivos de empresa, y así son las cosas.
Más tarde, anuncia a los cuatro vientos, no sólo que los tiene, sino que ha accedido a ellos. Otra enorme cagada. Y además, pone como prueba las iniciales de un usuario y la letra de su DNI, vanagloriándose de ello. Eso agrava (y de forma extraordinaria) el punto anterior, ya que queda probado que se llevó los datos, los introdujo en su ordenador, y accedió a ellos, delito contemplado claramente en la LOPD con graves sanciones.
En lugar de INMEDIATAMENTE, comunicar a Nintendo la vulnerabilidad, intenta "negociar" con ellos. No tengo por que dudar de la palabra de esta persona, pero esto APESTA a kilómetros. Y sobre todo por un detalle en el que no se ha incidido lo bastante. Si os fijáis, en ningún momento aclara a Nintendo CUÁL ES LA FORMA en que se accede a los datos. Tan sólo habla de "una vulnerabilidad". Es decir, cualquier juez con dos dedos de frente interpretará que su intención no era solucionar dicho agujero (o se lo hubiera comunicado para que procedieran a su arreglo), sino que les da "como prueba" un extracto de los datos accesibles. Otra enorme cagada (y van...). No solo vuelve a probar que ha accedido a los datos, sino que deja claro que quiere "enseñar su trofeo" con el fin de que Nintendo se preste a la "negociación". Por si no lo creen, vaya... ¿No hubiera sido más fácil (y honrado) aclararles cuál era la famosa puerta trasera, y así no hubiera cabido necesidad de más "pruebas"? En serio, ahora se podrá explicar como se quiera, pero los jueces van a interpretar esto MUY MAL.
Una vez Nintendo encuentra la vulnerabilidad, en lugar de felicitarlos por ello, les escribe un nuevo correo en un tono de frustración evidentísimo, en el que, contra todo rastro de cordura, vuelve a incidir en esa "negociación" y... ¡les da un plazo para ello!. Esto, directamente, es de locos. ¿Como que
"salvo que en los próximos días se me comunique oposición por su parte, denunciaré"? ¿Qué tiene que "oponer" Nintendo? ¿Un delincuente puede "oponerse" a que lo denuncies? No, de nuevo ningún juez en su sano juicio (valga la redundancia) interpretará eso más que en la línea que parece que va... Negociemos, lleguemos a un acuerdo, y negaré hasta que el cielo es azul... Solo más tarde, cuando ve que esto se le ha ido de las manos, publica en EOL la forma de acceder a los datos... más como descargo suyo (
¿veís lo fácil que era?) que otra cosa. Y hasta hoy.
Sinceramente, cuanto más leo acerca de esto, peor me huele... y peor me temo que va a acabar. A Nintendo le caerá una buena multa (posiblemente por encima de los 60.000 euros, sanciones que he visto por cosas menos importantes), pero al forero le va a caer la del pulpo. Y lo siento, pero es que esto no tiene defensa posible. Como mucho (su abogado se lo confirmará) podrá agarrarse a que el chantaje no es evidente (por eso de que no pide "nada" a cambio, aunque lo insinúe), con lo que se libraría de penas de prisión. Pero la multa (y gorda), creo que va a ser inevitable. Ahora si que haría bien en negociar con Nintendo, aunque eso tampoco le va a librar (la AEPD actua de oficio). Pero puede que le reduzca el importe de la multa y le librará de las costas de un juicio por amenazas que puede ser largo y muy costoso.
Es lo que pasa por jugar con fuego.
Manu1oo1
PD) Se me olvidaba esto...
Si has puesto tus datos personales en una web, al menos tienes derecho a saber que tus datos se encuentran en buenas manos. Si descubres que cualquiera puede acceder a tus datos por un método tan obvio, es normal que intentes avisar por medio a que tus datos puedan ser usados por cualquier tercero, y que tomes capturas y grabaciones como prueba de tal irresponsabilidad. Lo dela carta ya es otra historia...
Meeec. El hecho de que haya datos tuyos en una BD no te autoriza a acceder a ella sin ser usuario autorizado. Es de cajón. Si no, registrarme en cualquier sitio me legitimaría para hackearlo "para ver si están seguros". No le déis más vueltas. Los únicos que tienen permiso para acceder a una BD, son el administrador de los datos, y aquellos usuarios que él autorice expresamente, que tienen que constar en el Documento de Seguridad. No cuela.