Noticias - 28/Febrero/00

LOGO

  
Las facturas de los abonados de Telefónica accesibles por Internet

En lo que podemos considerar un grave fallo de seguridad y un granerror por parte de Telefónica, incluso contradiciendo toda la  normativa legal al respecto, los datos de las facturas de cualquier abonado de Telefónica, lo que incluye nombre, dirección, NIF, e incluso cuenta bancaria y desglose de llamadas, quedan accesibles  a la consulta de un navegador.

Con ayuda de un navegador y conociendo una dirección web concreta, cualquier persona puede acceder vía web a las facturas de cualquier abonado de Telefónica. Información tan sensible como nombre, dirección, NIF, datos de la domiciliación bancaria (incluido el número de cuenta), así como un completo desglose de la factura en sí, están accesibles a todo el mundo a través de Internet sin ningún tipo de restricción.

El problema proviene de un fallo de programación y configuración del servidor web. En principio, para acceder a este servicio, que es público y está al alcance de cualquier internauta que pase por el web de Telefónica, es necesario un nombre de usuario y password, tal y como se informa en las páginas web del operador.  Pero resulta relativamente sencillo saltarse esta protección, por lo cual cualquier usuario podrá llegar a conocer la facturación (y todos los demás datos) con tan sólo introducir el número de teléfono sobre el que se desea obtener información.

Cuando se accede a la información "supuestamente" confidencial, se pide un nombre de usuario y password mediante una autenticación, pero el problema radica en que existe una página en ese directorio accesible sin que el servicio solicite nombre de usuario y password, a través de la cual es posible realizar las consultas anteriormente descritas. Por otra parte, también resulta gracioso, e incluso irónico, que estas páginas estén bajo conexión https y se advierta de tal hecho al acceder a ellas indicando la entrada en un servidor "seguro".

De hecho, en las páginas de la propia Telefónica se puede encontrar la siguiente afirmación: "Además de la utilización de identificadores de usuario y contraseña para garantizar un acceso privado a sus datos, Telefónica proporciona niveles de seguridad y confidencialidad adicionales en la información que proporcionan determinados Servicios de Telefónica On-line, para lo cual es necesario realizar la instalación de un Certificado de Seguridad en su PC que expide A.C.E. (Agencia de Certificación Electrónica)."

En HispaSec, tras informar a Telefónica, quedamos a la espera de la contestación oficial ante este grave fallo que vulnera toda la legislación vigente. Por este motivo, y dada la gravedad y sensibilidad de los datos que quedan accesibles, evitamos dar la URL exacta para acceder a ellos.

NOTA: Justo tras la elaboración de esta noticia, y cuando iba a ser enviada, Telefónica procedió a modificar la configuración del servidor que revelaba información confidencial. Durante más de 10 horas, desde que HispaSec tuviera conocimiento del problema, los datos de facturación de todos los abonados estuvieron disponibles a través de Internet.

Antonio Ropero antonior@hispasec.com  

una-al-día es un servicio de HispaSec ( http://www.hispasec.com )