Esta es la historia de como no llevar un problema de seguridad de una web  municipal. Es la historia de Joshua Rogers, un joven de 16 años de Victoria  (Austrialia) que encontró un fallo de seguridad en la web de  transporte público de Victoria que le permitía acceder a una base de datos  importante, en la que se encontraba información personal de los usuarios del transporte  público.

Rogers encontró una forma aparentemente sencilla de acceder  a una base datos en la que se encontraban datos personales de 600.000 personas.  Datos importantes como nombres completos, direcciones, número de teléfono,  direcciones de email, fechas de nacimiento y hasta los nueve dígitos de sus  tarjetas de crédito. Sin duda alguna, es una de esas bases de datos que en el  mercado negro pueden valer bastante dinero al ser tan detallada.

En vez  de hacer una copia de esta base de datos y venderla, según el diario Australiano  The Age, el joven Joshua Rogers lo que hizo fue reportar el fallo de seguridad a  servicio de transporte público de Victoria para avisarles de lo que encontró y  se pudiese solucionar un fallo tan importante.

El fallo de seguridad lo  reportó tras las pasadas navidades de 2013, pero esperando respuesta después de  dos semanas, decidió enviar el problema al diario The Age y contar lo que  encontró. El diario contactó con el organismo de transportes y parece que tras  descubrir este fallo de seguridad, se reportó a la Policía que está investigando  este asunto.

Pero el problema es que para la Policía solo ha existido un  acceso ilegal a la base de datos de transporte público de Victoria, la de   Joshua Rogers, por lo que se podría enfrentar a las leyes de ciberseguridad de  Australia, lo cual es por desgracia una práctica bastante extendida. En vez de  aceptar el error y arreglarlo, investigar a la única persona que ha reportado el  error de otros podría ser castigada.

Según comentan en Wired, parece que Rogers uso una  de las prácticas más comunes para acceder a la base de datos, una inyección SQL,  lo que se considera un problema de seguridad bastante básico y quizá no sea la  primera persona que ha encontrado este fallo, pudiendo dejar la posibilidad de  que estos datos ya estén en un mercado negro. El propio Rogers ha confirmado que  la Policía de Melbourne no se ha puesto en contacto con él y ha conocido  mediante los medios sus posibles problemas legales, lo que deja abierta la  historia.