Esta mañana me disponia a mirar mis facturas en mi proveedor de ADSL ya.com. El caso es tras fiajrme en la URL y me doy cuenta de que mi numero de factura esta en la misma. Como soy programador web y se como funcionan estas cosas -aunque cualquiera con un minimo de conocimientos de internet lo sabe- me dio por cambiar el numero de la factura de la URL. Casi me caigo de la silla al verlo. Ante mi tenia una factura de otra persona. Completa. Con su numero de cuenta corriente, Telefono, Direccion y NIF/CIF.
Me he quedado sorprendido por la falta de seguridad con la que se manejan nuestros datos en la red (bueno, eso ya lo sabia, pero no me esperaba algo asi de una empresa de telecomunicaciones). Para obtener esta factura y otras no hace falta hacer login en la red de ya.com, no hace falta ser un hacker ni tener muchos conocimientos: Lo unico que hace falta es cambiar los datos que aparecen en una URL.
Me parece uno de los fallos mas graves que he visto en cuanto a seguridad en la red y espero que con la publicacion de este mensaje, dicho fallo se solvente lo mas rapido posible.
PD:Dependiendo del momento (supongo que dependiendo del servidor al que uno se conecte) se podra ver la URL o no. Las facturas accesibles son todas las del mes de Septiembre. Para muestra de que lo que digo coloco aqui la factura numero 10000.
Cualquier usuario podía acceder introduciendo en su navegador la URL https://acceso.ya.com/adsl/soloclientes/MFCTBillByNumber?numero=D003%2FXXXXXX
, donde XXXXXX
es el número de factura. A estas horas la URL parece estar desactivada. Actualización: kornerson aclara que previamente se avisó a ya.com y a la Agencia de Protección de Datos y que la URL no se ha publicado por voluntad suya.
Actualización: En libertaddigital.com ya.com dice que no tienen constancia del fallo. Aquí no ha pasado nada.