Del mismo modo que reproducimos el aviso íntegro de Antonio Cortés en
relación a los problemas detectados en las instalaciones ADSL de
Jazztel, a continuación publicamos la nota oficial de Jazztel al
respecto donde rectifican algunos de los puntos denunciados. En
cualquier caso, es elogiable la rápida actuación de ambas partes a
la hora de informar a los usuarios y solucionar el problema. Hispasec
emitirá un tercer boletín si se descubre nuevos datos.
NOTA
Ante las noticias publicadas en algún medio electrónico a lo largo del
día de ayer sobre un supuesto "grave problema de seguridad en las
instalaciones de Jazztel" y para evitar los posibles malentendidos que
de esta noticia hayan podido generarse, Jazztel desea hacer público lo
siguiente: En ningún momento se ha podido cambiar la configuración de
los routers ADSL que se instalan en casa del cliente ni acceder desde
los mismos a la red interna en el modo en que se ha publicado. Estos
equipos disponen de dos niveles de acceso: usuario y administrador. El
acceso como "administrador" -único que permite la realización de
cambios en la configuración del router- siempre ha estado protegido
por contraseña.
Los accesos que se mencionan en las noticias han sido siempre en modo
"usuario" -solo lectura- y nunca han representado ninguna amenaza para
la seguridad de las redes de nuestros clientes a pesar de lo que se ha
publicado en los medios.
Antonio Cortés, quien envió la noticia original a distintos foros, ha
podido constatar que las afirmaciones publicadas no son ciertas, y así
lo ha reconocido en un mensaje enviado a Jazztel del que reproducimos
un extracto:
"Tras un estudio mucho mas pormenizado del `problema´ [...] se debe
llegar a la conclusión de que he metido la pata sin lugar a dudas en
el planteamiento, todo debido a que no he probado a cambiar nada y por
lo tanto no comprobé que no se podía. Habia leído la configuración del
Router y en ella, para cada uno de los comandos no existe nada que
indicase si era o no ejecutable para un administrador o no. Debido a
lo erroneo de mi planteamiento se podia "comprobar" el problema pero
solo a medias, nadie (y yo el primero) probó a cambiar nada importante
ni siquiera a resetear el Router, en gran medida por que los routers
no eran nuestros y no se debe hacer; así nadie se dio cuenta de la
imposibilidad de ejecutar determinadas acciones.
[...]
Sé que he dañado el buen nombre de Jazztel por una mal planteamiento
del problema y haber supuesto cosas sin haberlas comprobado, he podido
constatar como todos los routers tenían la última versión de software
y estaban funcionando perfectamente [...]"
Jazztel es consciente de la importancia que la seguridad tiene para
sus clientes y presta la máxima atención a cualquier posible riesgo o
amenaza que pudiera afectarles. Jazztel lamenta que la publicación de
esta noticia se haya producido sin haber realizado previamente una
comprobación de la existencia de un problema real y espera que este
desafortunado incidente sirva como referencia para que en el futuro se
contraste suficientemente, antes de su publicación, la veracidad de
determinadas informaciones que pueden generar alarma y desconfianza en
los usuarios. Confiamos en que este hecho no afecte a la confianza que
nuestros clientes tienen depositada en Jazztel.
Directora de Comunicación de Jazztel
mep@jazztel.com
Más información:
Grave problema de seguridad en instalaciones Jazztel
http://www.hispasec.com/unaaldia.asp?id=804
Deja una respuesta