Nombres, domicilios, direcciones de correos electrónicos, números de teléfono y desgloses de llamadas.... millones de datos de clientes de Movistar han estado expuestos a cualquiera "como consecuencia de un error básico de programación", según anuncia hoy FACUA-Consumidores en Acción. Un agujero de seguridad en la página web de Movistar, ya solucionado, que desde la propia compañía han confirmado a Xataka.
Básicamente, la brecha permitía que cualquier persona con una cuenta en el portal pudiese visualizar los datos de otros clientes. Bastaba con consultar los datos de facturación propios, acceder a uno de nuestros recibos y cambiar los dígitos que aparece al final de la URL de la página que nos muestra esa información.
Dicho código alfanumérico equivalente al número de recibo, al modificarse, conducía directamente a las facturas de otros clientes de la compañía. De esta manera, cambiando la referencia, un usuario podía ir de un recibo ajeno en otro consultando los datos personales que en ellos aparecen. Todo ello, además, podía ser descargado en formato CSV para tratarse en Excel o un programa similar.
Telefónica confirma la vulnerabilidad y la da por solucionada
Un portavoz de Telefónica ha explicado a Xataka que el error ya se ha solucionado y que ya no es posible explotar el fallo de la web de Movistar. Asimismo, señalan que no tienen indicios de una posible explotación de la vulnerabilidad: "de los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento".
FACUA-Consumidores ha expuesto en un comunicado que la existencia de la brecha de seguridad fue comunicada a responsables de Movistar el domingo por la tarde y que durante esta madrugada la compañía ha eliminado funcionalidades de la página web para parchearlo y evitar la visualización de datos ajenos.
Telefónica, por su parte, dice que tan pronto como detectaron ayer "una comunicación que hablaba de problemas con datos de clientes en una empresa del Ibex 35", iniciaron "todo tipo de comprobaciones". Coincidiendo con la confirmación de que la empresa afectada era Movistar, aseguran que "se detectó una vulnerabilidad que permitía acceder a través de una web de la compañía a datos de la factura de clientes aleatorios".
La asociación de consumidores explica que tuvo conocimiento del incidente a través del reporte de un usuario, lo comprobó, acudió a un notario para que lo verificase y levantase acta, y finalmente lo ha denunciado ante la Agencia Española de Protección de Datos. FACUA solicita la apertura de un expediente sancionador por parte del organismo público contra Telefónica de España y Telefónica Móviles.
Desde la compañía, dicen que hecho "ya ha sido puesto en conocimiento de todas las autoridades competentes" y que "se ha iniciado un análisis para determinar lo ocurrido". FACUA tilda el incidente como "la mayor brecha de seguridad en la historia de las telecomunicaciones en España".
Comunicado de Movistar del 17 de julio
En relación con la vulnerabilidad de la que informó ayer la compañía, Telefónica, tras un exhaustivo análisis realizado en las últimas horas, ha constatado hasta el momento que el número de clientes cuyos datos han sido accedidos por terceros es inferior a un centenar.
La compañía contactará individualmente con cada uno de ellos para informarles de lo sucedido.
Hay que recordar que, tras la alerta recibida a última hora del domingo, la actuación diligente de Telefónica permitió que en esa misma madrugada la vulnerabilidad fuera identificada y subsanada.
Imagen principal | M. Peinado (CC BY 2.0)
Ver todos los comentarios en https://www.xataka.com
VER 20 Comentarios