BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Datos personales de clientes de Movistar y O2 expuestos en un acceso irregular a sus sistemas

Josh
fuga-datos-movistar.webp

Telefónica está mandado a algunos clientes tanto de su marca principal Movistar como de O2 un mensaje para avisarles de que se ha producido un acceso no autorizado a sus sistemas y se han expuesto datos personales.

Algunos clientes de Movistar han recibido a primera hora de la tarde del viernes un mensaje SMS procedente de la operadora en el que se advierte de un acceso irregular a sus bases de datos de clientes desde IP "sospechosas". La información obtenida consiste en datos básicos de identificación y contacto, así como los productos que el cliente tiene contratados. Los datos no incluyen contraseñas, detalles de llamadas y a la empresa no le consta que hayan sido utilizados para ningún fin hasta el momento.

Hola, esto es IMPORTANTE. Hemos detectado (y ya ha sido bloqueado) un acceso irregular a nuestros sistemas desde IPs sospechosas, que ha permitido acceder a tus datos básicos y de identificación, datos de contacto, así como información sobre los productos y servicios contratados. No hay evidencias de que dichos datos hayan sido explotados y no ha habido acceso a datos de facturación, ni al detalle de llamadas, ni a contraseñas de acceso. Si quieres más información puedes llamarnos al 1004.

SMS recibido por algunos clientes de Movistar

Por su parte los clientes de O2 están recibiendo un email mucho más extenso que contiene una información similar, pero además añade que la operadora detectó y bloqueó el acceso, además de fijar la vulnerabilidad para que no se siga explotando. Según el texto no se han expuesto datos de pago.

Nos ponemos en contacto contigo con relación a una información relevante sobre la privacidad de tus datos.

Hemos detectado una actividad inusual en nuestros sistemas a través de un acceso irregular realizado desde direcciones IPs no identificadas. Desde el momento que lo detectamos procedimos inmediatamente a bloquear dicho acceso y a tomar las medidas necesarias para que no vuelva a producirse.

No obstante, esto ha permitido que terceros no autorizados hayan podido acceder a tus datos básicos de identificación, de contacto, así como a la información sobre los productos y servicios que tienes contratados con nosotros.

En cualquier caso y para tu tranquilidad, queremos confirmarte que no han accedido a otro tipo de información más sensible, como pueden ser datos de facturación y cuenta bancaria, detalles de llamadas, o tu usuario o contraseña para acceder a la App de Mi O2.

Por otro lado, te informamos de que no tenemos evidencias de que se haya realizado ningún tipo de explotación de los datos afectados, y queremos pedirte disculpas por las molestias que esta situación te pueda ocasionar.

Si tienes alguna duda o quieres más información puedes llamarnos a nuestro teléfono de atención gratuito -1551-.

Un saludo

El equipo de O2

Según eldiario.es que cita fuentes de la operadora, el incidente afectaría a varios miles de clientes, por lo que su impacto es limitado. La compañía está informando personalmente a los clientes que lo requieren a través de sus redes sociales y teléfonos de atención al cliente.

Según el RGPD el responsable de los datos debe notificar la incidencia a los afectados y a la AEPD dentro de las 72 primeras horas desde que se tiene conocimiento de que se ha producido, por lo que el acceso se habrá producido en los últimos días.

Los últimos incidentes de seguridad relacionados con operadoras de telecomunicaciones que han trascendido fueron el ataque ransomware a la cadena de tiendas Phone House, que acabó con la publicación de todos los datos robados, incluyendo la base de datos de clientes, y más recientemente un ataque similar al Grupo MásMóvil, en este caso con un impacto más limitado ya que los ficheros robados no contenían información sensible.

pupum

Pues ya podían codificar los datos y tenerlos más seguros… Una teleco de primer orden y cualquiera… Es lo mínimo… Al final: "En casa del herrero… cuchillos de palo."

🗨️ 1
pepejil
4

¿Y la clave privada para descodificarlos "al vuelo", dónde la guardamos?

La aplicación debe saber "codificar/descodificar" y eso también es filtrable. Así que de poco te sirve codificar los datos.

BocaDePez
BocaDePez
2

Bueno, han tenido conocimiento en las últimas horas y por eso lo comunican. Lo que no te van a decir es desde cuándo ha existido ese acceso, lo normal es ponerse siempre en lo peor y pensar que llevará así meses, igual que en 2017 cuando tenían el parche disponible y aún así no se había aplicado.

Rogue
1

Bueno, a mi padre no le ha llegado SMS y tampoco mail, supongo que no está entre los afectados, respecto a la noticia seguiremos viendo más de este estilo

BocaDePez
BocaDePez
1

Espero que lo den como noticia en los informativos de nivel nacional. Así se les caería la cara de vergüenza y un poco las acciones. Para que aprendieran a no ser tan chapuzas en una empresa de este nivel internacional.

Manda OO

quetzal
1

Otro leak mas de muchos para luego vernderlos y bombardearnos a llamadas comerciales…

BocaDePez
BocaDePez

¿A los clientes (O2) que no nos llegue mail ni SMS, significa que nuestros datos no han sido vulnerados? El tema me preocupa bastante. Y no, no es una opción estar en otra compañía (vengo de Vodafone…) porque esto le puede pasar a cualquiera de las "tres Marias" o al operador local de turno.

Magonos
5

Me parece que Telefónica esta demostrando una madurez en temas de ciberseguridad, que ojalá otras empresas Españolas aprendieran. Ya el tener logs y tenerlos monitorizados (los accesos), el poder comunicarlo a la AEPD a mi me da mas seguridad, que cuando de golpe aparece en internet un volcado de información de clientes, y la empresa de turno ni se ha enterado ni ha dado aviso a la AEPD.

Yo he intentado leer entre líneas, el mensaje de O2 parece que da alguna pista más, lo único que no queda claro es si el acceso ha sido con credenciales comprometidas de algún usuario con privilegios para ver esa info o por una vulnerabilidad, lo que si parece descartar es algún tipo de infección, compromiso gordo (Intrusión con compromiso de Directorio Activo o de algún servidor de BBDD), yo sinceramente apuesto por lo primero, ya que para solucionar una vulnerabilidad necesitas mas tiempo (Desplegar el parche etc, mitigar con algún sistema estilo WAF etc…), parece aparte que tienen muy acotado los clientes afectados, esto ya indica que tenían perfectamente monitorizada esa información, si no todos los clientes tendrían que haber sido informado…si hubiera sido un volcado de una BBDD completa, hubiera sido diferente…hubiera afectado a todos los clientes seguramente.

Os leo a algunos, y creo que no entendéis muy bien como funciona el tema de la AEPD y la nueva RGPD, hay que notificar cualquier acceso a información por alguien no autorizado, no tiene que ser a una BBDD, o a un servidor, con que accedan a la interfaz gráfica de un sistema (CRM o alguna movida que tengas las telcos) con unas credenciales válidas (robadas) y vea información de clientes, eso ya se considera que hay que avisarlo, vamos que el tema de cifrar datos en una web en la que consultas datos, por ejemplo no tendría ningún sentido…tienen que poder leerse jajajaja @pepejil lo ha contestado por ahí, y es tal cúal él lo comenta…

Ya veremos que pasa, si la AEPD considera que telefonica tenia la monitorización suficiente, que detecto correctamente el "incidente" y que informó, puede perfectamente librarse de la multa, esto es lo que persigue el RGPD, que las empresas actuen correctamente y tengan los procesos engrasados, estaremos atentos a la resolución, creo que la hacen normalmente pública si no me equivoco.

Un saludo

🗨️ 2
pepejil

Añado que ciberseguridad es también que Telefónica audite sus sistemas y aplicaciones para ver precisamente agujeros de seguridad que puedan ser aprovechados y evitar noticias como esta.

gonzifp

A mi no me parece muy maduro dejar robarte todos esos datos de los clientes, datos básicos, de identificación, datos de contacto, así como información sobre los productos y servicios contratados, una empresa madura tendría esos datos muy seguros.

Tener logs y tenerlos monitorizados es lo mínimo exigible, que eso no se invento hace dos días, eso no es de empresa seria es lo que debería ser común en todas las empresas.

Si tu dices que no hay compromiso gordo dime como han sacado esos datos si no es de una BBDD, te recuerdo que hace poco fueron infectados por el WannaCry.

No creo que Telefónica sea una empresa de la que deban aprender otras con su largo historial de hackeos y vulnerabilidades.

BocaDePez
BocaDePez
2

A ver, nunca he sido fan de telefónica pero reconozco que si ha comunicado el incidente es porque se toman las cosas muy en serio. No sólo por posibles multas, sino por la cantidad de personas que recibirán llamadas con fines comerciales, sin haber dado sus datos a nadie. Mejor que estén avisados.

A muchos les sorprendería la cantidad de empresas que tienen incidentes y no han sido comunicados a la agencia, sin ir más lejos en mi último trabajo habían tenido un par de intrusiones y se llevaron las BBDD con los datos de clientes desde hace 15 años, los tiquets y facturas de los últimos tres, y sacaron hasta dónde compraba los tangas la secretaría… pero no dijeron ni pío.

BocaDePez
BocaDePez

Me la juego a que la filtración de datos ha sido por alguna subcontrata de las muchas que dan servicios a Telefónica/Movistar

Esto es lo que pasa por subcontratar a consultoras informáticas, conocidas como cárnicas, a precio de ganga

BocaDePez
BocaDePez

Y Chemita donde está?

🗨️ 2
gonzifp

Con sus charlas, lleva años siendo más de marketing haciéndole publicidad a Movistar que del departamento de seguridad en Movistar haciendo que sea más segura. Solo tienes que ver el ultimo vídeo de su YouTube que va sobre Living App de Los Piratas de Cuentos en Movistar + y en Movistar Home 😂

🗨️ 1
superllo

Su puesto se llama Chief Digital Consumer Officer, que parece ser que es más de cara a los clientes que de seguridad del sistema.