Movistar tapa un agujero de seguridad que expuso los datos privados de sus clientes

Archivado
Facua-Consumidores en Acción ha anunciado haber detectado un fallo en la web de Movistar que durante un tiempo indeterminado ha permitido acceder a los datos de facturación de sus clientes. La organización avisó a la operadora durante la tarde del pasado domingo y esta lo solucionó la madrugada del lunes eliminando algunas de las funcionalidades de su web.

El agujero de seguridad causado por “un error básico de programación” dejó expuestos los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar. Para Facua, que ya ha presentado una denuncia contra Telefónica ante la Agencia Española de Protección de Datos (AEPD) para solicitar la apertura de un expediente sancionador, estamos ante “la mayor brecha de seguridad en la historia de las telecomunicaciones en España”.

Facua asegura que gracias al fallo cualquiera podía acceder fácilmente a los datos privados de los clientes de Movistar. “Bastaba con tener una línea con la compañía y, tras introducir en la web su DNI y contraseña, acceder a los datos de facturación; al pedir el visionado de cualquier factura, la dirección del navegador pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes”, detallan desde la organización.

Por su parte Telefónica afirma que “de los análisis efectuados, hasta el momento no se ha detectado ningún acceso fraudulento". Casualidades de la vida, recientemente Movistar actualizó su política de privacidad donde afirma que "[...] el control y la seguridad de los datos personales de nuestros clientes, son nuestra prioridad en el diseño y la prestación de nuestros servicios”.

Facua recuerda que en virtud del Reglamento General de Protección de Datos (RGPD) Movistar tiene que enviar una comunicación a sus clientes para informarles de que ha tenido conocimiento del fallo de seguridad. En caso de castigo la normativa europea contempla sanciones que pueden alcanzar los 10 o 20 millones de euros, pero la desactualizada Ley Orgánica de Protección de Datos de Carácter Personal española limita estas multas a 300.000 y 600.000 euros.

Fuente: Facua
Ya se calzaran al becario de la contrata que subcontrara a otra. Encima que le dan 300 euros monta este desastre. A ver los jefes de timofnica en polo lacoste tomaran decisones duras como el programa el jefe
No pasa nada, en caso de que tengan que pagar la multa ya se encargaran los cliente de pagarla con alguna subida de precio, la banca nunca pierde
al pedir el visionado de cualquier factura, la dirección del navegador pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes


[facepalm]
Para vosotros "clientes" [carcajad]
Y por este tipo de fallos con la nueva RGPD no se puede denunciar? tendriamos que liarnos a hacer demandas masivas... por pencos

Salu2
al pedir el visionado de cualquier factura, la dirección del navegador pasaba a incorporar un código alfanumérico equivalente al número del recibo, que podía modificarse de manera que la página pasaba a mostrar las facturas de otros clientes


Brutal xD
Desde luego , esperemos que indemnicen a los clientes de alguna forma ! O por lo menos les recompense
txeriff escribió:Ya se calzaran al becario de la contrata que subcontrara a otra. Encima que le dan 300 euros monta este desastre. A ver los jefes de timofnica en polo lacoste tomaran decisones duras como el programa el jefe

Cuales? Las de premiar con mas pasta y un viaje de vacaciones al empleado mas problematico, poco productivo y que dice que esta en la empresa de paso?

Segun el programa el jefe deberian de darle 10.000 para sus gastos de vida, un viaje a punta cana con todo pagado para que se relaje del estres y pagarle una carrera universitaria como formacion.
Mientras en ElevenPaths desarrollando nuevos productos. Antes de meterse a idear/implementar nuevos productos igual toca revisar 'la casa' ;)

Muchos impresionados con Aura, mientras sus webs antiguas siguen con errores básicos ...

Menos mal que somos muy buenos y a nadie se le ha ocurrido automatizar el proceso para conseguir los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar.
ThE_mIk escribió:Y por este tipo de fallos con la nueva RGPD no se puede denunciar? tendriamos que liarnos a hacer demandas masivas... por pencos

Salu2


Sí, es más pone que FACUA a denunciado, pero las multas son de chiste, y es como si a ti te ponen una multa de 1€
El hacker súper chuli que todos sabemos que tiene en nómina Telefónica tampoco lo había detectado, ¿no?

Consejos vendo que para mí no tengo.

Por cierto, en mi curro tenemos Movistar grandes clientes. Y algunas de las webs que nos facilitan para hacer gestiones dan auténtica vergüenza. Son de los albores de internet.

Por no hablar del software FACTEL, que da cáncer de sida.

En fin. Otra subida en la tarifa y a seguir robando.
La verdad es que vaya chapuza de seguridad. Para mear y no echar gota.
y la indemizacion es...............jajajaja
Q raro q tengan una brecha de seguridad [carcajad] si es q dan asco todas las compañías! Asco puto puto asco!
lo grabe de esto es que lo descubra facua y no el "hacker" de Movistar en nomina que ya sabemos todos quien es jajaja
menos mal que ficharon al "artista" para evitar casos como este...oh wait!!!. [facepalm]

Imagen
Ahora que salga Chema Alonso a hacer una charla de esas que encuentras en youtube demostrando lo listo que es y lo malos que son los ingenieros de Apple.
Retratao.
Imagen
Joer con el chema, entre esto y que no actualizaban el windows por el tema del cry...
Plage escribió:
ThE_mIk escribió:Y por este tipo de fallos con la nueva RGPD no se puede denunciar? tendriamos que liarnos a hacer demandas masivas... por pencos

Salu2


Sí, es más pone que FACUA a denunciado, pero las multas son de chiste, y es como si a ti te ponen una multa de 1€


Las multas del RGPD para nada son de chiste. Así en principio a Telefónica le pueden caer 10 millones de euros o lo más probable por ser una empresa de gran capitalización el 2% del volumen total de negocio del año pasado (ingresos totales). Que viendo que el año pasado tuvo unos ingresos de 52.455 millones de euros. La multa ascendería a: 1.049,1 millones de euros. Esto si lo consideran infracción grave, porque si se demuestra negligencia (por ejemplo que conocían el fallo y no hicieron nada hasta ahora) sería infracción muy grave y el porcentaje sería el doble: 4% es decir 2.098, 2 millones de euros. Como siempre ponen la mayor sanción económica dudo mucho que solo le metan a Telefónica 10 millones (o 20 millones) de euros.

Salu2
Cualquier dia tapan tambien el agujero de seguridad para conectarse por wpa [qmparto] .
Esto es de vergüenza que ocurra a día de hoy en empresas como movistar.
@Nova6K0 Eso es para Europa, es España eso está limitado hasta un máximo, creo que una falta muy grave lo máximo son 600.000€
Newton escribió:Menos mal que somos muy buenos y a nadie se le ha ocurrido automatizar el proceso para conseguir los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar.

[fiu]

Y viendo el percal seguro que no tenían ni un sistema de logs para guardar qué usuarios accedían a qué archivos...

Una conversación un día cualquiera:

- Oye, que el servidor de facturas está haciendo muchas más lecturas de lo normal.
+ Nada, nada. Por fin la gente se está pasando a "lo digital".
- Bueno, lo que tú digas. Cobrando 5€/hora tampoco me voy a comer mucho la cabeza.
Desde qué "ficharon" al hacker ese llamado Chema no ganan para disgustos [facepalm] ...
Pues está muy bien... Oooh
Plage escribió:@Nova6K0 Eso es para Europa, es España eso está limitado hasta un máximo, creo que una falta muy grave lo máximo son 600.000€


La GDPR entró en vigor el 25 de mayo de 2018, incluida España. Es de aplicación. Otra cosa es que se librarán y no pagarán nada por tecnicismos.
El "genio" que tenga esos datos va a sacar buena tajada al venderlos a empresas de telemarketing XD
Markuf escribió:El "genio" que tenga esos datos va a sacar buena tajada al venderlos a empresas de telemarketing XD


Y por lo mismo de antes, como esa empresa de marketing los use tiene un problema por los nuevos derechos de la GDPR. Tienen q tener el consentimiento explícito, ya no vale lo de "lo saqué de las páginas blancas".
pitiocampa escribió:
Markuf escribió:El "genio" que tenga esos datos va a sacar buena tajada al venderlos a empresas de telemarketing XD


Y por lo mismo de antes, como esa empresa de marketing los use tiene un problema por los nuevos derechos de la GDPR. Tienen q tener el consentimiento explícito, ya no vale lo de "lo saqué de las páginas blancas".

Si si, me lo se de memoria el RGPD, pero tu pregúntale el CIF de su empresa a cualquier teleoperador que te llame que te cuelgan ipso facto y ya no puedes denunciar a nadie.
Markuf escribió:
pitiocampa escribió:
Markuf escribió:El "genio" que tenga esos datos va a sacar buena tajada al venderlos a empresas de telemarketing XD


Y por lo mismo de antes, como esa empresa de marketing los use tiene un problema por los nuevos derechos de la GDPR. Tienen q tener el consentimiento explícito, ya no vale lo de "lo saqué de las páginas blancas".

Si si, me lo se de memoria el RGPD, pero tu pregúntale el CIF de su empresa a cualquier teleoperador que te llame que te cuelgan ipso facto y ya no puedes denunciar a nadie.


Quien no parece que se lo sabe es Facua. Por que al ser norma europea superpone a la nacional. @Benzo la parte final yo no lo afirmaría tan tajante.

Respecto a lo del teleoperador, con denunciar el teléfono desde donde llaman hay bastante. Y ya tienen prohibido llamar con número oculto. Pero vamos, quién se mete en esas zarandajas...

La GDPR está siendo un problemón en las empresas, y no la cumple nadie. Probad a solicitar la portabilidad de datos, verás que risa...
Plage escribió:@Nova6K0 Eso es para Europa, es España eso está limitado hasta un máximo, creo que una falta muy grave lo máximo son 600.000€


España es de Europa, otra cosa es como siempre no se haya adaptado la legislación española en tiempo. Pero vamos como sancionan día sí y día también a España, mejor dicho a la ciudadanía española que es la que paga las multas, por no transponer las diferentes Directivas o peor Reglamento (el rango de ley más importante en Europa) pues...

En cualquier caso lo que diferencia un Reglamento como el Reglamento General de Protección de Datos (RGPD) de una Directiva es que es de obligado cumplimiento y es una transposición directa. Esto significa que en el momento que entra en vigor, como así fue el 25 de mayo de 2018, cualquier legislación de cada estado miembro debe cumplirlo. En el caso de España significa que solo aquel articulado que no se mencione como tal en el RGPD, tiene validez. Y como una de las cosas que ha modificado el RGPD es el tema de las sanciones. Eso significa que al ser el RGPD superior en rango de ley a la LOPD (Ley Orgánica de Protección de Datos) se debe cumplir lo que especifique el reglamento quedados deprecados o sin validez los artículos de la LOPD referente a sanciones.

Es por ello que si entramos en la página web de la Agencia Española de Protección de Datos y en referencia a su legislación y la Ley Orgánica de Protección de Datos (Ley Orgánica 15/1999 así como el R.D 1720/2007 que la desarrolla) pone que ambas son válidas en el caso que no contradigan el RGPD (vigente en aquellos artículos que no contradigan el RPGD)

Salu2
Sencillamente ridículo, a saber cuanto tiempo estuvo ese "fallo" activo...y lo de que nadie lo ha usado jajaja, buen chiste
darkrocket escribió:
Newton escribió:Menos mal que somos muy buenos y a nadie se le ha ocurrido automatizar el proceso para conseguir los nombres, domicilios, direcciones de correo electrónico, numeraciones fijas y móviles y el desglose de las llamadas de los clientes de Movistar.

[fiu]

Y viendo el percal seguro que no tenían ni un sistema de logs para guardar qué usuarios accedían a qué archivos...

Una conversación un día cualquiera:

- Oye, que el servidor de facturas está haciendo muchas más lecturas de lo normal.
+ Nada, nada. Por fin la gente se está pasando a "lo digital".
- Bueno, lo que tú digas. Cobrando 5€/hora tampoco me voy a comer mucho la cabeza.


Lo triste es que tienen ramas/departamentos o cómo quieran llamarlo especializados en ciberseguridad [no dudo que sean muy buenos y realicen grandes investigaciones] pero igual es mejor primero 'asegurar' la casa y después meterse a desarrollador soluciones/productos para terceros.

La verdad que no da mucho seguridad cuando en su propia casa tienen esos errores. Es el precio que hay que pagar cuando no se paga debidamente a los desarrolladores.
nanoscort escribió:
txeriff escribió:Ya se calzaran al becario de la contrata que subcontrara a otra. Encima que le dan 300 euros monta este desastre. A ver los jefes de timofnica en polo lacoste tomaran decisones duras como el programa el jefe

Cuales? Las de premiar con mas pasta y un viaje de vacaciones al empleado mas problematico, poco productivo y que dice que esta en la empresa de paso?

Segun el programa el jefe deberian de darle 10.000 para sus gastos de vida, un viaje a punta cana con todo pagado para que se relaje del estres y pagarle una carrera universitaria como formacion.



En esos programas se omite que la gente está quemada y le pagan una mierda, doblemente subcontratada y buscan al problemático porque da juego en tv
Nueva subidita de Movistar:
http://www.finanzas.com/noticias/empres ... 78660.html

Una historia de hackers, bugs en aplicaciones y la web de Movistar Chema Alonso muestra su opinión al respecto y carga un poquito contra Facua por la manera en la que se ha llevado el asunto.
36 respuestas
Archivado
Volver a Internet