Los usuarios de la web de Randstad pudieron ver nóminas y datos personales de otros trabajadores solo pulsando una tecla
Los sueldos y los datos personales de los trabajadores subcontratados por Randstad, el portal de búsqueda de empleo, fueron accesibles fácilmente por otros usuarios de la plataforma con tan solo pulsar un botón. Así, tan solo apretando la tecla F5 (que actualiza la página web) mientras se visualizaba una nómina, el sistema cargaba otra diferente de un trabajador al azar.
eldiario.es ha tenido acceso a varios vídeos en los que se puede comprobar el fallo de seguridad, ya subsanado, y que ha estado abierto hasta principios de junio. También se ha puesto en contacto con Randstad, desde donde aseguran que “no tenemos nada que comunicar a este respecto”.
El fallo de seguridad se producía cuando alguien, al entrar en su área de usuario (My Randstad) y pinchar sobre el apartado “Consulta y descarga de nóminas”, visualizaba sus emolumentos. Una vez ahí, valía con refrescar la página (ya fuera a través del botón F5 o pinchando sobre el botón “actualizar” del navegador) para que el sistema cargase otra nómina diferente.
Número de la Seguridad Social, DNI, nombre, apellidos...
Una fuente que prefiere mantenerse en el anonimato asegura a eldiario.es que “Randstad dijo que solo afectaba a los trabajadores de un área en concreto, pero es mentira. Llegué a ver nóminas de gente que trabaja de mozo de almacén”. Esta persona no trabaja actualmente en ese puesto.
Según el usuario, la empresa también dijo que la brecha de seguridad solo afectaba a los trabajadores de un área geográfica de España en concreto. Sin embargo, este diario ha podido comprobar a través de los vídeos que, indistintamente, saltan nóminas de trabajadores en Bilbao, Barcelona o Puerto Real (Cádiz).
La persona contactada por eldiario.es también es uno de los afectados por el fallo de seguridad en Randstad. Se enteró porque algunos de sus compañeros le avisaron cuando su nómina les aparecía en pantalla. Tras eso, los trabajadores pusieron en conocimiento de la empresa el problema: “era como si tuviésemos permisos ilimitados, todo el mundo podía acceder a todas las nóminas”, explica.
Entre los datos personales que aparecen al visualizar una nómina en Randstad se encuentran el número de la Seguridad Social, el DNI, nombre, apellidos, sueldo, categoría, antigüedad en la empresa y un largo etcétera que permitirían a cualquier persona malintencionada poder suplantar la identidad de otra fácilmente.
Según la fuente consultada por eldiario.es, también era posible, una vez registrado en My Randstad, copiar la dirección de la barra del navegador y pegarla en otro o enviarla por correo para iniciar sesión en un ordenador diferente. Cuando esto ocurría, el sistema no pedía las claves para autentificarse de nuevo, así que solo copiando y pegando esa URL, una persona sería capaz de entrar en el perfil de otra sin autentificarse.
Este diario no ha podido confirmar si Randstad ha puesto en conocimiento de la Agencia Española de Protección de Datos (AEPD) el incidente, ya que la empresa se ha negado a responder preguntas o realizar cualquier tipo de aclaración.