Facua descubrió un grave fallo de seguridad en la web de Movistar que dejaba al descubierto datos personales de millones de clientes. Telefónica, que entre Movistar Fusión cuenta con unos 6,8 millones de clientes en España. Accediendo a la web de la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de su facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes.

• Facua cescubrió cómo, tan solo cambiando los números que aparecen al final de la barra del navegador, un cliente de la compañía podía ver los datos de otro cliente
• Telefónica confirma la existencia de la brecha de seguridad y asegura que el error está "solventado". El agujero fue parcheado en la madrugada del lunes por los técnicos de la compañía. El fallo ha dejado expuestos millones de datos de sus clientes

Facua-Consumidores en Acción anunció haber detectado un fallo en la web de Movistar que durante un tiempo indeterminado ha permitido acceder a los datos de facturación de sus clientes. La organización avisó a la operadora durante la tarde del pasado domingo y esta lo solucionó la madrugada del lunes eliminando algunas de las funcionalidades de su web.



Telefónica, que entre Movistar Fusión (una oferta que incluye Internet, televisión y móvil) y líneas móviles adiciones contaba con 6,8 millones de clientes en España en mayo del año pasado

El agujero de seguridad causado por “un error básico de programación” dejó expuestos los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar. Para Facua, que ya ha presentado una denuncia contra Telefónica ante la Agencia Española de Protección de Datos (AEPD) para solicitar la apertura de un expediente sancionador, estamos ante “la mayor brecha de seguridad en la historia de las telecomunicaciones en España”.

Desde Telefónica afirman que «se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios». Además, informan que, tras los análisis efectuados, «hasta el momento no se ha detectado ningún acceso fraudulento», por lo que todo apunta a que se trata de un fallo de «software» y no un ataque externo. . La empresa asegura que "no se ha detectado ningún acceso fraudulento, más allá del de el señor de Facua".

Accesible para cualquier persona

La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos avanzados de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes. Todo esto podía descargarse en archivos CVS fácilmente procesables a través de Excel.

Concretamente, el agujero de seguridad permitía que cualquier usuario pudiese acceder a los datos de facturación de otros clientes,

Datos expsuestos

•  Numeraciones de las líneas fijas y móviles contratadas por ellos, 
• Nombre y apellidos, DNI, dirección de la instalación de la línea fija, dirección de facturación, correo electrónico, el nombre del banco donde tiene domiciliados los recibos y su histórico de facturación con todos los servicios contratados, llamadas realizadas y otros datos de consumo mensual, que además podían descargarse en archivos formato CSV (valores separados por comas) para ser utilizados en Excel.

Este es un numero que depende del tipo de factura, por ejemplo para las facturas mensuales de movistar fusión, tiene el siguiente formato YYYXXZZZZZZZZ, siendo:

La URL de acceso a esta brecha tenía el siguiente formato:

https://www.movistar.es/mimovistar-cliente/es-es/c_particulares/cclivr/facturainteractiva.html#?cf=&ln=LNF

Posibles multas

Facua recuerda que en virtud del Reglamento General de Protección de Datos (RGPD) Movistar tiene que enviar una comunicación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad. En caso de castigo la normativa europea contempla sanciones que pueden alcanzar los 10 o 20 millones de euros, pero la desactualizada Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros, dependiendo del tipo de infracción.

La AEPD consideró una infracción muy grave lo ocurrido con LexNET.  El error tiene ciertas similitudes con los problemas que experimentó el sistema Lexnet el año pasado. E incidente se produjo mes de julio del año pasado 2017, ya que se vio afectado el buzón de correo de los usuarios y que algunos visualizaron mensajes de forma no autorizada.


La Agencia Española de Protección de Datos ya está analizando las informaciones publicadas. Cabe recordar que el RGPD prevé un plazo de 72 horas para la comunicación de las brechas de seguridad a la AEPD por parte de los responsables

FACUA considera las sanciones que establece la normativa española de protección de datos «absolutamente ridículas». Además, reclama al Gobierno que sean actualizadas al «no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios».



Fuentes:
https://www.facua.org/es/noticia.php?Id=13007
https://www.abc.es/tecnologia/abci-facua-denuncia-fallo-seguridad-movistar-expuesto-datos-clientes-201807161127_noticia.html
https://www.abc.es/tecnologia/abci-facua-denuncia-fallo-seguridad-movistar-expuesto-datos-clientes-201807161127_noticia.html