En lo que podemos considerar un grave fallo de seguridad y un gran
error por parte de Telefónica, incluso contradiciendo toda la
normativa legal al respecto, los datos de las facturas de cualquier
abonado de Telefónica, lo que incluye nombre, dirección, NIF, e
incluso cuenta bancaria y desglose de llamadas, quedan accesibles
a la consulta de un navegador.
Con ayuda de un navegador y conociendo una dirección web concreta,
cualquier persona puede acceder vía web a las facturas de
cualquier abonado de Telefónica. Información tan sensible como
nombre, dirección, NIF, datos de la domiciliación bancaria
(incluido el número de cuenta), así como un completo desglose de
la factura en sí, están accesibles a todo el mundo a través de
Internet sin ningún tipo de restricción.
El problema proviene de un fallo de programación y configuración
del servidor web. En principio, para acceder a este servicio, que
es público y está al alcance de cualquier internauta que pase por
el web de Telefónica, es necesario un nombre de usuario y
password, tal y como se informa en las páginas web del operador.
Pero resulta relativamente sencillo saltarse esta protección, por
lo cual cualquier usuario podrá llegar a conocer la facturación
(y todos los demás datos) con tan sólo introducir el número de
teléfono sobre el que se desea obtener información.
Cuando se accede a la información «supuestamente» confidencial,
se pide un nombre de usuario y password mediante una
autenticación, pero el problema radica en que existe una página
en ese directorio accesible sin que el servicio solicite nombre
de usuario y password, a través de la cual es posible realizar
las consultas anteriormente descritas. Por otra parte, también
resulta gracioso, e incluso irónico, que estas páginas estén
bajo conexión https y se advierta de tal hecho al acceder a
ellas indicando la entrada en un servidor «seguro».
De hecho, en las páginas de la propia Telefónica se puede
encontrar la siguiente afirmación: «Además de la utilización
de identificadores de usuario y contraseña para garantizar un
acceso privado a sus datos, Telefónica proporciona niveles de
seguridad y confidencialidad adicionales en la información que
proporcionan determinados Servicios de Telefónica On-line, para
lo cual es necesario realizar la instalación de un Certificado
de Seguridad en su PC que expide A.C.E. (Agencia de
Certificación Electrónica).»
En HispaSec, tras informar a Telefónica, quedamos a la espera
de la contestación oficial ante este grave fallo que vulnera
toda la legislación vigente. Por este motivo, y dada la
gravedad y sensibilidad de los datos que quedan accesibles,
evitamos dar la URL exacta para acceder a ellos.
NOTA: Justo tras la elaboración de esta noticia, y cuando iba
a ser enviada, Telefónica procedió a modificar la
configuración del servidor que revelaba información
confidencial. Durante más de 10 horas, desde que HispaSec
tuviera conocimiento del problema, los datos de facturación
de todos los abonados estuvieron disponibles a través de
Internet.
antonior@hispasec.com
Deja una respuesta