Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
julio
(Total:
6
)
- Detienen a un ladrón que entraba a casas para roba...
- Ataque Phishing en GMail permitió robar a espias R...
- Movistar soluciona error que exponia datos privado...
- Fallos privacidad en Fitness Polar Flow publica la...
- Roban los datos de 21 millones de cuentas de Timehop
- Disponibles actualizaciones de seguridad para CMS:...
-
▼
julio
(Total:
6
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Movistar soluciona error que exponia datos privados de sus clientes
martes, 17 de julio de 2018
|
Publicado por
el-brujo
|
Editar entrada
Facua descubrió un grave fallo de seguridad en la web de Movistar que dejaba al descubierto datos personales de millones de clientes. Telefónica, que entre Movistar Fusión cuenta con unos 6,8 millones
de clientes en España. Accediendo a la web de la compañía y, tras
introducir en la web su DNI y contraseña, acceder a los datos de
su facturación; al pedir el visionado de cualquier factura, la dirección
del navegador (URL) pasaba a incorporar un código alfanumérico
equivalente al número del recibo, que podía modificarse de manera que la
página pasaba a mostrar las facturas de otros clientes.
Telefónica, que entre Movistar Fusión (una oferta que incluye Internet, televisión y móvil) y líneas móviles adiciones contaba con 6,8 millones de clientes en España en mayo del año pasado
El agujero de seguridad causado por “un error básico de programación” dejó expuestos los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar. Para Facua, que ya ha presentado una denuncia contra Telefónica ante la Agencia Española de Protección de Datos (AEPD) para solicitar la apertura de un expediente sancionador, estamos ante “la mayor brecha de seguridad en la historia de las telecomunicaciones en España”.
Desde Telefónica afirman que «se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios». Además, informan que, tras los análisis efectuados, «hasta el momento no se ha detectado ningún acceso fraudulento», por lo que todo apunta a que se trata de un fallo de «software» y no un ataque externo. . La empresa asegura que "no se ha detectado ningún acceso fraudulento, más allá del de el señor de Facua".
Accesible para cualquier persona
La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos avanzados de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes. Todo esto podía descargarse en archivos CVS fácilmente procesables a través de Excel.
Concretamente, el agujero de seguridad permitía que cualquier usuario pudiese acceder a los datos de facturación de otros clientes,
Datos expsuestos
Este es un numero que depende del tipo de factura, por ejemplo para
las facturas mensuales de movistar fusión, tiene el siguiente formato YYYXXZZZZZZZZ, siendo:
La URL de acceso a esta brecha tenía el siguiente formato:
La AEPD consideró una infracción muy grave lo ocurrido con LexNET. El error tiene ciertas similitudes con los problemas que experimentó el sistema Lexnet el año pasado. E incidente se produjo mes de julio del año pasado 2017, ya que se vio afectado el buzón de correo de los usuarios y que algunos visualizaron mensajes de forma no autorizada.
La Agencia Española de Protección de Datos ya está analizando las informaciones publicadas. Cabe recordar que el RGPD prevé un plazo de 72 horas para la comunicación de las brechas de seguridad a la AEPD por parte de los responsables
FACUA considera las sanciones que establece la normativa española de protección de datos «absolutamente ridículas». Además, reclama al Gobierno que sean actualizadas al «no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios».
Fuentes:
https://www.facua.org/es/noticia.php?Id=13007
https://www.abc.es/tecnologia/abci-facua-denuncia-fallo-seguridad-movistar-expuesto-datos-clientes-201807161127_noticia.html
https://www.abc.es/tecnologia/abci-facua-denuncia-fallo-seguridad-movistar-expuesto-datos-clientes-201807161127_noticia.html
- Facua cescubrió cómo, tan solo cambiando los números que aparecen al final de la barra del navegador, un cliente de la compañía podía ver los datos de otro cliente
- Telefónica confirma la existencia de la brecha de seguridad y asegura que el error está "solventado". El agujero fue parcheado en la madrugada del lunes por los técnicos de la compañía. El fallo ha dejado expuestos millones de datos de sus clientes
Telefónica, que entre Movistar Fusión (una oferta que incluye Internet, televisión y móvil) y líneas móviles adiciones contaba con 6,8 millones de clientes en España en mayo del año pasado
El agujero de seguridad causado por “un error básico de programación” dejó expuestos los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar. Para Facua, que ya ha presentado una denuncia contra Telefónica ante la Agencia Española de Protección de Datos (AEPD) para solicitar la apertura de un expediente sancionador, estamos ante “la mayor brecha de seguridad en la historia de las telecomunicaciones en España”.
Desde Telefónica afirman que «se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios». Además, informan que, tras los análisis efectuados, «hasta el momento no se ha detectado ningún acceso fraudulento», por lo que todo apunta a que se trata de un fallo de «software» y no un ataque externo. . La empresa asegura que "no se ha detectado ningún acceso fraudulento, más allá del de el señor de Facua".
Accesible para cualquier persona
La información privada de los clientes de Movistar ha sido accesible para cualquier persona sin necesidad de que tuviese conocimientos avanzados de informática. Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador (URL) pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes. Todo esto podía descargarse en archivos CVS fácilmente procesables a través de Excel.
Concretamente, el agujero de seguridad permitía que cualquier usuario pudiese acceder a los datos de facturación de otros clientes,
Datos expsuestos
- Numeraciones de las líneas fijas y móviles contratadas por ellos,
- Nombre y apellidos, DNI, dirección de la instalación de la línea fija, dirección de facturación, correo electrónico, el nombre del banco donde tiene domiciliados los recibos y su histórico de facturación con todos los servicios contratados, llamadas realizadas y otros datos de consumo mensual, que además podían descargarse en archivos formato CSV (valores separados por comas) para ser utilizados en Excel.
El identificador de facturas
La URL de acceso a esta brecha tenía el siguiente formato:
https://www.movistar.es/mimovistar-cliente/es-es/c_particulares/cclivr/facturainteractiva.html#?cf=&ln=LNF
Posibles multas
Facua recuerda que en virtud del Reglamento General de Protección de Datos (RGPD) Movistar tiene que enviar una comunicación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad. En caso de castigo la normativa europea contempla sanciones que pueden alcanzar los 10 o 20 millones de euros, pero la desactualizada Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros, dependiendo del tipo de infracción.La AEPD consideró una infracción muy grave lo ocurrido con LexNET. El error tiene ciertas similitudes con los problemas que experimentó el sistema Lexnet el año pasado. E incidente se produjo mes de julio del año pasado 2017, ya que se vio afectado el buzón de correo de los usuarios y que algunos visualizaron mensajes de forma no autorizada.
La Agencia Española de Protección de Datos ya está analizando las informaciones publicadas. Cabe recordar que el RGPD prevé un plazo de 72 horas para la comunicación de las brechas de seguridad a la AEPD por parte de los responsables
FACUA considera las sanciones que establece la normativa española de protección de datos «absolutamente ridículas». Además, reclama al Gobierno que sean actualizadas al «no resultar proporcionales a la gravedad de las irregularidades y la cifra de afectados, que puede llegar a ser de decenas de millones de usuarios».
Fuentes:
https://www.facua.org/es/noticia.php?Id=13007
https://www.abc.es/tecnologia/abci-facua-denuncia-fallo-seguridad-movistar-expuesto-datos-clientes-201807161127_noticia.html
https://www.abc.es/tecnologia/abci-facua-denuncia-fallo-seguridad-movistar-expuesto-datos-clientes-201807161127_noticia.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
data leak
,
epic fail
,
error
,
facua
,
fail
,
leak
,
Movistar
,
privacidad
,
telefonica
,
vulnerabilidad
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.