BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Expuestos los datos de facturacion de los clientes de ya.com - página 2

kornerson

Esta mañana me disponia a mirar mis facturas en mi proveedor de ADSL ya.com. El caso es tras fiajrme en la URL y me doy cuenta de que mi numero de factura esta en la misma. Como soy programador web y se como funcionan estas cosas -aunque cualquiera con un minimo de conocimientos de internet lo sabe- me dio por cambiar el numero de la factura de la URL. Casi me caigo de la silla al verlo. Ante mi tenia una factura de otra persona. Completa. Con su numero de cuenta corriente, Telefono, Direccion y NIF/CIF.

Me he quedado sorprendido por la falta de seguridad con la que se manejan nuestros datos en la red (bueno, eso ya lo sabia, pero no me esperaba algo asi de una empresa de telecomunicaciones). Para obtener esta factura y otras no hace falta hacer login en la red de ya.com, no hace falta ser un hacker ni tener muchos conocimientos: Lo unico que hace falta es cambiar los datos que aparecen en una URL.

Me parece uno de los fallos mas graves que he visto en cuanto a seguridad en la red y espero que con la publicacion de este mensaje, dicho fallo se solvente lo mas rapido posible.

PD:Dependiendo del momento (supongo que dependiendo del servidor al que uno se conecte) se podra ver la URL o no. Las facturas accesibles son todas las del mes de Septiembre. Para muestra de que lo que digo coloco aqui la factura numero 10000.

Cualquier usuario podía acceder introduciendo en su navegador la URL (link roto) donde XXXXXX es el número de factura. A estas horas la URL parece estar desactivada. Actualización: kornerson aclara que previamente se avisó a ya.com y a la Agencia de Protección de Datos y que la URL no se ha publicado por voluntad suya. Actualización en libertaddigital.com/./noticias/noticia_1…6201764.html ya.com dice que no tienen constancia del fallo. Aquí no ha pasado nada.

💬 Comentarios

12
Página 2
BocaDePez
BocaDePez

Bueno yo creo que hay que denuciarles a la Agencia de Protección de Datos.

Si alguien tiene una captura de Pantalla de una factura que no es suya y que ponga en constancia la vulnerabilidad del servicio de facturas, la debe enviar a la agencia de Proteccion de Datos. Con un escrito de la denuncia. Tened en cuenta que cualquiera ha podido acceder a vuestor datos privados.

Yo personalmente he llamado y me han dicho que no les puedo denuciar sino tengo la captura de pantalla. Ya que demomento nadie ha presentado ninguna denuncia y no tienen ninguna constancia de ello. Para mas información entar en (link roto) y entrando en el menu principal abajo teneis el telefono. Hay os informaran donde teneis que mandar la denuncia.

Creo que todos agradeceriamos al que tiene la captura de pantalla que lo mande y nos informe a todos que lo ha mandado. Asi despues todos podriamos hacer una denuncia.

🗨️ 1
BocaDePez
BocaDePez

BocaDePez,soy un sufridor de Ya.com y estoy de acuerdo en lo que dices.¿habria alguna manera de ponerse en contacto con Konersson y que pasara esas capturas..?Seguramente que muchos usuarios se lo agradeceriamos.Es una pena que se pierda esta oportunidad para poner a esa pandilla de sinverguenzas en su verdadero sitio.

kornerson

Este es el email de respuesta de la agencia de proteccion oficial de datos. Me parece tras su lectura que la necesidad de un DNI digital es mucha. Si esperase a haber hecho la denuncia `por correo a estas horas todos nuestros datos estarian corriendo por la red impunemente.
lamentable

-----cortar------

De "Carlos Garrido" <[***]@agpd.es>
Fecha Jueves, Septiembre 25, 2003 4:48 pm
A <[***]@[***].net>
Asunto contestacion a consulta

En contestación al escrito enviado por Vd. a través de nuestra Web por el
que le interesa conocer como pueden presentar una denuncia por un
almacenamiento de información contrario a la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal se le indica que puede denunciar el
caso expuesto ante esta Agencia.

Las denuncias se deben de presentar por escrito y dirigirse a la Agencia de
Protección de Datos en los términos que establece el artículo 70 de la Ley
de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común, debiendo contener:

a) Nombre y apellidos del interesado y, en su caso, de la persona que lo
represente, así como la identificación del medio preferente o del lugar que
se señale a efectos de notificaciones.

b) Hechos, razones y petición en que se concrete, con toda claridad, la
solicitud.

c) Lugar y fecha.

d) Firma del solicitante o acreditación de la autenticidad de su voluntad
expresada por cualquier medio.

e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso
sería la Subdirección General de Inspección de Datos de esta Agencia).

Igualmente deberá acompañar los documentos o cualquier otro tipo de prueba
que pueda corroborar los hechos denunciados.

Le saluda atentamente.

Madrid a 25 de septiembre de 2003. Jefe de Área de Atención al Ciudadano

Carlos Garrido Falla

----cortar-----

uff... no se... tal vez este fin de semana si me pillan con ganas lo denuncio. Pero no se... lo bonito era ver el fallo en direccto y que se pudiesen tener todas las facturas a mano... lamentablemente esto ya no se puede hacer...

bueno... pues este sera mi ultimo post sobre el tema.

Un saludo.

🗨️ 3
BocaDePez
BocaDePez

El otro dia mande un mail a la agencia d proteccion d datos y hoy me respondieron con ese mismo mail. Deberiamos hacer algo pero no se yo si pagaran por lo q hicieron... :(

🗨️ 2
BocaDePez
BocaDePez

Este no es el modo, simplemente con el chorreo de dinero que supone tener que atender a la APD es suficiente para hacer pupita....creerme, hasta no me estrañaría que visto lo visto, valiese con que la APD se presentase un día en su oficina, y ya está, si tienen colgado eso en público qué no tendrán encima de la mesa ?????

🗨️ 1
javiermk

En el foro de yacom siguen negando que este fallo de seguridad se produjo, cuando, incluso, se deshabilito la pagina que daba acceso a esta informacion.

BocaDePez
BocaDePez

hola ami no me parese nada bueno ese operador ,cuando me ofrecieron la oferta me dijeron q venian tecnicos a conectar el internet y resulta q ya com no tiene tecnico esto me parese una farsa mas y ademas me dijeron 9,50 y resulta q pago 11,90 entonces q esto no me dejan cambiarme hasta q no cumpla el contrato cuando me ofrecieron la oferta me dijeron q no habia contrato de permanencia x lo cual yo no estoy contenta con su servicio cuando se me averia algo llamo y nunca me solucionan mi problema yo tengo q pagar a otras personas q se dedican a esto para poder continuar con mi internet es haci amigos esto es pura mentira adios ...........

12