Fallo seguridad de Movistar expone datos de clientes

MoLSpA

https://www.xataka.com/seguridad/brecha-seguridad-web-movistar-expuso-datos-millones-clientes

Una brecha de seguridad en la web de Movistar ha expuesto los datos de millones de clientes

Nombres, domicilios, direcciones de correos electrónicos, números de teléfono y desgloses de llamadas.... millones de datos de clientes de Movistar han estado expuestos a cualquiera "como consecuencia de un error básico de programación", según anuncia hoy FACUA-Consumidores en Acción. Un agujero de seguridad en la página web de Movistar, ya solucionado, que desde la propia compañía han confirmado a 'Xataka'.

Básicamente, la brecha permitía que cualquier persona con una cuenta en el portal pudiese visualizar los datos de otros clientes. Bastaba con consultar los datos de facturación propios, acceder a uno de nuestros recibos y cambiar los dígitos que aparece al final de la URL de la página que nos muestra esa información.

El fallo permitía acceder a los datos de las facturas de clientes aleatorios

Dicho código alfanumérico equivalente al número de recibo, al modificarse, conducía directamente a las facturas de otros clientes de la compañía. De esta manera, cambiando la referencia, un usuario podía ir de un recibo ajeno en otro consultando los datos personales que en ellos aparecen. Todo ello, además, podía ser descargado en formato CSV para tratarse en Excel o un programa similar.

Telefónica confirma la vulnerabilidad y la da por solucionada

Un portavoz de Telefónica ha explicado a 'Xataka' que el error ya se ha solucionado y que ya no es posible explotar el fallo de la web de Movistar. Asimismo, señalan que no tienen indicios de una posible explotación de la vulnerabilidad: "de los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento".

FACUA-Consumidores ha expuesto en un comunicado que la existencia de la brecha de seguridad fue comunicada a responsables de Movistar el domingo por la tarde y que durante esta madrugada la compañía ha eliminado funcionalidades de la página web para parchearlo y evitar la visualización de datos ajenos.

FACUA la considera "la mayor brecha de seguridad en la historia de las telecomunicaciones en España"
Telefónica, por su parte, dice que tan pronto como detectaron ayer "una comunicación que hablaba de problemas con datos de clientes en una empresa del Ibex 35", iniciaron "todo tipo de comprobaciones". Coincidiendo con la confirmación de que la empresa afectada era Movistar, aseguran que "se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios".

La asociación de consumidores explica que tuvo conocimiento del incidente a través del reporte de un usuario, lo comprobó, acudió a un notario para que lo verificase y levantase acta, y finalmente lo ha denunciado ante la Agencia Española de Protección de Datos. FACUA solicita la apertura de un expediente sancionador por parte del organismo público contra Telefónica de España y Telefónica Móviles.

Desde la compañía, dicen que hecho "ya ha sido puesto en conocimiento de todas las autoridades competentes" y que "se ha iniciado un análisis para determinar lo ocurrido". FACUA tilda el incidente como "la mayor brecha de seguridad en la historia de las telecomunicaciones en España".


Tanta murga con el RGPD, tanto Aura, tanto marketing e inversión para que luego encarguen las cosas a becarios y se les olvide hacer una simple validación la cual, además, se cuela en producción xD.

makre89

my putos eyes, eso es de 1º de backend

7 1 respuesta
sagha

y hay alguna forma de reclamar y sacarnos algo interesante o como siempre nada?

2 respuestas
B

Muy típico de los empresaurios dejar esto a los becarios.

Baltar

Pe... Pero en mi ordenador compilaba.

eondev

#2 Pues así desactivé yo una cuenta de gmail. Pedí enlace para desactivar y el enlace llevaba un ID que era el de mi cuenta, lo cambié por el de la cuenta que quería desactivar y voilá. xDDDDDDDDDDD
Y en 2 de la ESO que lo hice

1 respuesta
makre89

#6 En realidad esa mierda seguro que se puede hacer en mucho sitios en los que no reparan que le están dando los datos al usuario en la url y con malicia puede hacer cosas malas (como cambiar el dato por un o de otro usuario o hacer inyecciones directamente)

1 respuesta
perche

pero no tenian de jefe de seguridad a un tio muy moderno con gorro y vestido de vagabundos que te hackeaba el iphone en 10 segundos en el hormiguero?.

2 respuestas
E

#8 Claro y ese tío hace la auditoría de todos los sistemas de telefónica, que tiene pocos. Ese tío con gorro y vestido de vagabundos te guste o no te da mil vueltas en todo pero no por tenerle en la empresa, todos los departamentos van a ser milagrosamente a prueba de fallos.

1 2 respuestas
muanhiaru

Hace años, sobre el 2.014, pasó algo parecido pero con los PDF de las becas de la junta de Andalucía, cuando entrabas lo que veias era un archivo .pdf precedido por una "id" numérica. Bastaba sólo con cambiar la ID y poder ver que beca y que cuantía había percibido otra persona.

cabron

#9

Te equivocas en pensar que al responsable no se le puede culpar argumentando que no puede auditar cada sistema uno a uno.

Se supone que el responsable lo que tiene que hacer es establecer un marco de trabajo y procedimientos para evitar que estos errores ocurran, así que sí, hay un responsable de esto más allá del inútil del programador que lo ha hecho, si por encima tuviese gente competente hubiesen evitado que algo así llegase a producción.

Un ejemplo sencillo:

  • Tener en un catálogo de normas de seguridad que todas las aplicaciones deben cumplir.
  • Cada aplicación debe tener tests unitarios que prueben que pasan todas las normas de seguridad obligatorias.

Con solo tener esos dos pasos, ya te aseguras de que la aplicación no se pone en producción sin que tenga un puto test unitario que haga un curl a ids aleatorias y falle si accedes con éxito a algo que no pertenece al usuario con el que has iniciado sesión, en todas las aplicaciones.

¿existe ese procedimiento?
¿si existe por que se puso la aplicación en producción sin cumplirlo?

Eso es culpa del responsable de seguridad o de quien haya delegado, no del inútil que lo ha hecho.

Es decir, el inútil tiene culpa de haberlo hecho mal, los responsables de que su trabajo haya sido aceptado.

Y no lo digo por el del gorro en concreto que no se que hace ni deja de hacer.

2 respuestas
Hobbes

#7 Hubo un tiempo que se podía hacer aquí en MV, pero eso lo solucionaron hace eones.

#9 Estoy contigo.

#8 Que tendrá que ver un jefe de seguridad con un jefe de desarrollo que quizás no estaba cumpliendo con la normativa de trabajo (ojo con esto, que hay jefes que se lo pasan por el arco del triunfo y luego pasa lo que pasa).

E

#11 Chema Alonso es el Chief Data Officer. No hace nada de eso que tú comentas. Así que lo dicho. No por tener a ese tío "muy moderno con gorro y vestido de vagabundos" van a dejar de pasar estas cosas. El responsable será el encargado de seguridad o el responsable de desarrollos de la parte de plataforma web que será otro tío random que estará por ahí.

PiPePiTo

#3 Nada, pero a telefónica si aplican multas de la GDPR a nivel europeo le puede costar un piquin, no mucho teniendo en cuenta que es timofonica, pero un pico si.

1 respuesta
xPipOx

Esto es como un profesor mio en la universidad de informatica que subia pruebas corregidas despues de hacerlas y se llamaba tipo prueba1.pdf. Ponias en la url prueba2.pdf y te la podias descargar aunque no estuviera visible en la web.

Forma facil de hacer las practicas sin estudiar una mierda.

B

#14 No es desde 2 millones de euros hasta el 4% de la facturación? Ojala les metieran una que doliera de verdad y de la que tardaran en recuperarse

1 respuesta
B

#1

E

Cuanto odio a telefónica jajajaja. Me encanta ver tanta bilis (y eso que a mi ni me va ni me viene pero vamos... me apasiona ver cómo se puede odiar tanto a una compañía simplemente por ser quien es).

1 respuesta
sacnoth
#18Elinombrable:

cómo se puede odiar tanto a una compañía simplemente por ser quien es

¿Es posible que sea por los abusos cometidos por su posición primero como monopolio y posteriormente como oligopolio?

6
Ulmo

#11 De todas formas no creo que sea su trabajo, normalmente el tema web este tipo de empresas lo tienen externalizado a consultoras. La seguridad a la que se dedica no tiene nada que ver con el acceso a una base de datos vía página web.

#3 A nivel individual no creo a no ser que te hay provocado un perjuicio claro (que con tus datos robados te hayan vaciado la cuenta del banco, etc), pero espero que les caiga una buena multa.

segudj

Es lo que pasa cuando las grandes solo contratan a consultoras tipo Accenture, everis o indra para este tipo de plataformas, dejando toda la faena a cargo de juniors mal pagados y que los meten a machacar codigo como si no hubiera un mañana.

PiPePiTo

#16 No estoy seguro porque FACUA decía que la multa en españa era entre 300k y 600k, a nivel europeo ya ni puta idea.

En mi empresa calculamos que una cosa así de nuestro tercer cliente más grande nos costaría unos 35 millones de euros si Europa nos golpeaba con toda su furia. Así que no lo sé, la verdad.

Y somos una empresa de 30 personas eh.

1 respuesta
eXtreM3

Ha sido el típico movistar.com/facturas/id=1001 que si cambias por 1002 ya ves la de otro?

1 1 respuesta
Mafioso14
#22PiPePiTo:

Y somos una empresa de 30 personas eh.

Joder, pues como dividan la multa entre treinta vais apañados xD

1 respuesta
PiPePiTo

#24 por eso digo que no tengo ni puta idea de que va, a mi desde luego me dejaron con el miedo en el cuerpo y me aseguro que sólo el usuario que debería ver las cosas es quien lo ve, porque si no... awita.

muanhiaru

#23 Parece er que si, sorprendente en 2018 que pasen estas cosas...

Usuarios habituales