En lo que podemos considerar un grave fallo de seguridad y un gran error por parte de Telefónica, incluso contradiciendo toda la normativa legal al respecto, los datos de las facturas de cualquier abonado de Telefónica, lo que incluye nombre, dirección, NIF, e incluso cuenta bancaria y desglose de llamadas, quedan accesibles a la consulta de un navegador.
Con ayuda de un navegador y conociendo una dirección web concreta, cualquier persona puede acceder vía web a las facturas de cualquier abonado de Telefónica. Información tan sensible como nombre, dirección, NIF, datos de la domiciliación bancaria (incluido el número de cuenta), así como un completo desglose de la factura en sí, están accesibles a todo el mundo a través de Internet sin ningún tipo de restricción.
El problema proviene de un fallo de programación y configuración del servidor web. En principio, para acceder a este servicio, que es público y está al alcance de cualquier internauta que pase por el web de Telef¢nica, es necesario un nombre de usuario y password, tal y como se informa en las p ginas web del operador. Pero resulta relativamente sencillo saltarse esta protecci¢n, por lo cual cualquier usuario podr llegar a conocer la facturaci¢n (y todos los dem s datos) con tan s¢lo introducir el nomero de tel’fono sobre el que se desea obtener informaci¢n.
Cuando se accede a la informaci¢n «supuestamente» confidencial, se pide un nombre de usuario y password mediante una autenticaci¢n, pero el problema radica en que existe una p gina en ese directorio accesible sin que el servicio solicite nombre de usuario y password, a trav’s de la cual es posible realizar las consultas anteriormente descritas. Por otra parte, tambi’n resulta gracioso, e incluso ir¢nico, que estas p ginas est’n bajo conexi¢n https y se advierta de tal hecho al acceder a ellas indicando la entrada en un servidor «seguro».
De hecho, en las p ginas de la propia Telef¢nica se puede encontrar la siguiente afirmaci¢n: «Adem s de la utilizaci¢n de identificadores de usuario y contrase_a para garantizar un acceso privado a sus datos, Telef¢nica proporciona niveles de seguridad y confidencialidad adicionales en la informaci¢n que proporcionan determinados Servicios de Telef¢nica On-line, para lo cual es necesario realizar la instalaci¢n de un Certificado de Seguridad en su PC que expide A.C.E. (Agencia de Certificaci¢n Electr¢nica).»
En HispaSec, tras informar a Telef¢nica, quedamos a la espera de la contestaci¢n oficial ante este grave fallo que vulnera toda la legislaci¢n vigente. Por este motivo, y dada la gravedad y sensibilidad de los datos que quedan accesibles, evitamos dar la URL exacta para acceder a ellos.
NOTA: Justo tras la elaboraci¢n de esta noticia, y cuando iba a ser enviada, Telef¢nica procedi¢ a modificar la configuraci¢n del servidor que revelaba informaci¢n confidencial. Durante m s de 10 horas, desde que HispaSec tuviera conocimiento del problema, los datos de facturaci¢n de todos los abonados estuvieron disponibles a trav’s de Internet.
Antonio Ropero
antonior@hispasec.com
