Jazztel ha solucionado en tiempo récord una vulnerabilidad del área de clientes de su página web que permitía descargar facturas de cualquier usuario simplemente con introducir su número en la barra de direcciones del navegador.
El problema lo reportó durante el día de ayer el forero @wileeam, tras descubrir por casualidad que desde su espacio de cliente podía descargar las facturas de cualquier usuario. Para ello, simplemente era necesario modificar manualmente la URL del navegador cambiando el número de factura.
Los experimentos los he hecho por casualidad al querer ver la factura embebida en el navegador web y equivocarme al copiar y tener que completar el dato del identificador de la factura y equivocarme de nuevo obteniendo una factura que no está a mi nombre.
En la URL simplemente había que introducir el ID de un usuario válido y un número de factura.
httpx://clientes.jazztel.com/PanelControl/paginas/facturacion/prox.php?action=resumen&tipo=pdf&idc=YYYYYYYY&id=JXXXXXXXXXWileeam trató de notificarlo a Jazztel a través de los cauces habituales, mediante el servicio técnico y a través de un comercial, pero solo consiguió que se abriese una reclamación.
Esto supone una grave violación de la Ley de Protección de Datos pues es posible agenciarse de todo el banco de facturas de Jazztel en estos instantes. Literalmente podría descargarme todas las facturas, pues la numeración es consecutiva (y las facturas incluyen datos personales, al igual que los números de teléfono llamados).
Entre los datos visibles en la factura se encuentra el nombre y apellidos del cliente, domicilio, teléfono, detalles del consumo y el número de cuenta bancaria.
Jazztel soluciona el problema en menos de 2 horas
La reacción de Jazztel tras conocer el problema ha sido contundente. A las 12:35 mandábamos aviso directo a los responsables de la operadora. Una hora después deshabilitaban el área de cliente, que ha vuelto a funcionar sobre las 15:45. En este momento la vulnerabilidad está subsanada.
