https://www.xataka.com/seguridad/brecha-seguridad-web-movistar-expuso-datos-millones-clientes
Una brecha de seguridad en la web de Movistar ha expuesto los datos de millones de clientes
Nombres, domicilios, direcciones de correos electrónicos, números de teléfono y desgloses de llamadas.... millones de datos de clientes de Movistar han estado expuestos a cualquiera "como consecuencia de un error básico de programación", según anuncia hoy FACUA-Consumidores en Acción. Un agujero de seguridad en la página web de Movistar, ya solucionado, que desde la propia compañía han confirmado a 'Xataka'.
Básicamente, la brecha permitía que cualquier persona con una cuenta en el portal pudiese visualizar los datos de otros clientes. Bastaba con consultar los datos de facturación propios, acceder a uno de nuestros recibos y cambiar los dígitos que aparece al final de la URL de la página que nos muestra esa información.
El fallo permitía acceder a los datos de las facturas de clientes aleatorios
Dicho código alfanumérico equivalente al número de recibo, al modificarse, conducía directamente a las facturas de otros clientes de la compañía. De esta manera, cambiando la referencia, un usuario podía ir de un recibo ajeno en otro consultando los datos personales que en ellos aparecen. Todo ello, además, podía ser descargado en formato CSV para tratarse en Excel o un programa similar.
Telefónica confirma la vulnerabilidad y la da por solucionada
Un portavoz de Telefónica ha explicado a 'Xataka' que el error ya se ha solucionado y que ya no es posible explotar el fallo de la web de Movistar. Asimismo, señalan que no tienen indicios de una posible explotación de la vulnerabilidad: "de los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento".
FACUA-Consumidores ha expuesto en un comunicado que la existencia de la brecha de seguridad fue comunicada a responsables de Movistar el domingo por la tarde y que durante esta madrugada la compañía ha eliminado funcionalidades de la página web para parchearlo y evitar la visualización de datos ajenos.
FACUA la considera "la mayor brecha de seguridad en la historia de las telecomunicaciones en España"
Telefónica, por su parte, dice que tan pronto como detectaron ayer "una comunicación que hablaba de problemas con datos de clientes en una empresa del Ibex 35", iniciaron "todo tipo de comprobaciones". Coincidiendo con la confirmación de que la empresa afectada era Movistar, aseguran que "se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios".
La asociación de consumidores explica que tuvo conocimiento del incidente a través del reporte de un usuario, lo comprobó, acudió a un notario para que lo verificase y levantase acta, y finalmente lo ha denunciado ante la Agencia Española de Protección de Datos. FACUA solicita la apertura de un expediente sancionador por parte del organismo público contra Telefónica de España y Telefónica Móviles.
Desde la compañía, dicen que hecho "ya ha sido puesto en conocimiento de todas las autoridades competentes" y que "se ha iniciado un análisis para determinar lo ocurrido". FACUA tilda el incidente como "la mayor brecha de seguridad en la historia de las telecomunicaciones en España".
Tanta murga con el RGPD, tanto Aura, tanto marketing e inversión para que luego encarguen las cosas a becarios y se les olvide hacer una simple validación la cual, además, se cuela en producción xD.