Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

78

Un fallo permite descargar facturas de clientes de la web de Jazztel

factura-jazztel.png

Jazztel ha solucionado en tiempo récord una vulnerabilidad del área de clientes de su página web que permitía descargar facturas de cualquier usuario simplemente con introducir su número en la barra de direcciones del navegador.

El problema lo reportó durante el día de ayer el forero Wileeam, tras descubrir por casualidad que desde su espacio de cliente podía descargar las facturas de cualquier usuario. Para ello, simplemente era necesario modificar manualmente la URL del navegador cambiando el número de factura.

Los experimentos los he hecho por casualidad al querer ver la factura embebida en el navegador web y equivocarme al copiar y tener que completar el dato del identificador de la factura y equivocarme de nuevo obteniendo una factura que no está a mi nombre.

En la URL simplemente había que introducir el ID de un usuario válido y un número de factura.

httpx://clientes.jazztel.com/PanelControl/paginas/facturacion/prox.php?action=resumen&tipo=pdf&idc=YYYYYYYY&id=JXXXXXXXXX

Wileeam trató de notificarlo a Jazztel a través de los cauces habituales, mediante el servicio técnico y a través de un comercial, pero solo consiguió que se abriese una reclamación.

Esto supone una grave violación de la Ley de Protección de Datos pues es posible agenciarse de todo el banco de facturas de Jazztel en estos instantes. Literalmente podría descargarme todas las facturas, pues la numeración es consecutiva (y las facturas incluyen datos personales, al igual que los números de teléfono llamados).

Entre los datos visibles en la factura se encuentra el nombre y apellidos del cliente, domicilio, teléfono, detalles del consumo y el número de cuenta bancaria.

Jazztel soluciona el problema en menos de 2 horas

La reacción de Jazztel tras conocer el problema ha sido contundente. A las 12:35 mandábamos aviso directo a los responsables de la operadora. Una hora después deshabilitaban el área de cliente, que ha vuelto a funcionar sobre las 15:45. En este momento la vulnerabilidad está subsanada.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    12

    Ya pasó con R hace meses, lo mejor es publicarlo en un sitio…

    Ya pasó con R hace meses, lo mejor es publicarlo en un sitio BIEN VISIBLE (que vean ellos sobre todo). Si llamas a desatención al cliente pasan de ti, no hay nada como que lo vean los responsables en un sitio PÚBLICO como este.

    Lamentablemente es lo único eficaz para que lo solucionen pronto.

    • BocaDePez BocaDePez
      36

      Se les comunicó ayer, pasaron del cliente, y no han hecho…

      Se les comunicó ayer, pasaron del cliente, y no han hecho nada hasta que hoy alguien con acceso a puestos superiores dentro de la empresa lo ha comunicado de nuevo y le han hecho caso, y aun así han tardado una hora en reaccionar.

      Si eso es celeridad no se que será ser lento.

      • Ser notificados y en 2h tener el fallo arreglado es…

        Ser notificados y en 2h tener el fallo arreglado es celeridad.

        Tardar 1h en cerrar la página desde ser notificados, no es ser lento. Antes de cerrar debes de hacer unas cuantas comprobaciones, claro que viniendo de un ignorante como tú no me extraña nada.

        • A parte de hacer comprobaciones, hay que hacer un backup de…

          A parte de hacer comprobaciones, hay que hacer un backup de TODO el sistema inmediatamente, que como todos ya sabemos, eso se hace en apenas 1 o 2 minutos y no en apenas 1 hora, ¿a que sí?

          Ya ves, Filiprino, parece ser que este parte del hilo está llena de gente que sabe más de informática y de mantenimiento online que el equipo de ingenieros de Jazztel.

          ¡Jazztel! ¡Despide a tus empleados y contrata a éstos, que saben más que los que tienes ahora!

            • No, está corregido. Ya lo estaba desde que retornaron el…

              No, está corregido. Ya lo estaba desde que retornaron el estado del área de clientes; si bien hubo unas horas en las que se podía volver a hacer la descarga de facturas, pero desde ayer ya se puede decir que no.

              La solución al problema la han hecho con dos técnicas, una en el lado del cliente, ocultando el método de envío de datos (aunque esto es trivial para cualquier persona que tenga conocimientos e interés en explotar el fallo) y otra, que es la importante, en el lado del servidor, asociando la sesión a la factura que se solicita (y ahora es lo que aunque se hagan cambios desde el lado del cliente, no resulta en la descarga de la factura si no es la del cliente que ha iniciado la sesión).

              • BocaDePez BocaDePez
                0
                Vamos, que de récord nada. Y si no llega a ser por la…

                Vamos, que de récord nada. Y si no llega a ser por la relación que tiene esta web con pazztel, a saber cómo andaría aún la cosa.

          • BocaDePez BocaDePez
            12
            Ahora hay que ser ingeniero informático para saber que si les…

            Ahora hay que ser ingeniero informático para saber que si les avisan de que tienen un fallo enorme de seguridad y no hace absolutamente nada hasta el día siguiente no es precisamente celeridad. Y si no llega a ser porque alguien que tiene acceso directo a instancias más altas dentro de la empresa volvió a llamar, seguramente seguiría igual.

            Debe ser que el concepto de celeridad dentro del mundo informático es totalmente distinto al del resto del mundo :P

            • El departamento informático en cuanto lo supo se puso manos a…

              El departamento informático en cuanto lo supo se puso manos a la obra, otra cosa es que el SAC o quien fuera tardara un día en comunicárselo a quienes se lo tenían que comunicar.

              Deberían enseñar al SAC a que se tomen especialmente en serio las declaraciones de clientes que descubren fallos de seguridad en el sistema.

              • BocaDePez BocaDePez
                18
                Se está hablando de la celeridad de Jazztel. Ahora, si ya hay…

                Se está hablando de la celeridad de Jazztel. Ahora, si ya hay que separar por departamentos, que hagan ellos una auditoría porque en eso los demás solo podemos suponer.

                • Yo personalmente comenté la celeridad en la que arreglaron el…

                  Yo personalmente comenté la celeridad en la que arreglaron el fallo, no en si los cauces de comunicación son o no buenos.

                  Relee mis comentarios y verás que ninguno hace alusión a si el SAC es mejor o peor.

                  Mi área es la de la informática y me sorprende que lo arreglaran así de rápido. Con el tema del SAC yo personalmente no me meto.

                  • BocaDePez BocaDePez
                    6
                    Pues según comentan hasta ayer no se solucionó del todo.

                    Pues según comentan hasta ayer no se solucionó del todo.

              • BocaDePez BocaDePez
                12
                Hay que ser un incompetente para no facilitar a los clientes…

                Hay que ser un incompetente para no facilitar a los clientes un número en el que se puedan comunicar ese tipo de problemas.

              • BocaDePez BocaDePez
                12
                ¿Y a quién se lo comunica el cliente normal que no tiene…

                ¿Y a quién se lo comunica el cliente normal que no tiene contacto directo con el departamento comercial de pazztel, que es de donde se ha tirado en este caso?

        • BocaDePez BocaDePez
          24
          Se les notificó ayer, no una hora antes del cierre, y si no…

          Se les notificó ayer, no una hora antes del cierre, y si no llega a ser porque alguien de BA tiene posibilidad de comunicarse con empleados de más nivel dentro de la empresa, seguiría igual.

          Si los empleados de su SAC son unos incapaces es problema de Jazztel que los contrata.

        • BocaDePez BocaDePez
          12
          Habló el "capaz" que necesita una hora para comprobar la…

          Habló el "capaz" que necesita una hora para comprobar la relevancia de algo tan evidente.

          Las excusas no faltan:

          Borrador de Informe:

          Los capaces dos, tres hasta diecisiete bastaron de cinco segundos para determinar necesario bloquear/cerrar. 20 minutos en encontrar el nombre de un responsable con autoridad para cerrarlo. 20 minutos más en encontrar un número que no de apagado de ese individuo, en adelante capaz dieciocho, 16 minutos en conseguir que el mencionado capaz18 descuelgue el teléfono. Tres minutos invertidos en que los capaces 2 a 17, encontrasen el modo de hacer comprender al capaz18 de la situación y consiguiente necesidad de bloqueo/cierre. 40 segundos para que el capaz18 pronunciase un tímido "luz verde, procedan". Cinco segundos para que los capaces 2 a 17 decidiesen quien de ellos daría la orden al "efepero mielda" para matar el árbol de procesos en cuestión y diez segundos restantes para que el operario "cuatrocientoseurista" teclease el 'killall' reflejado debidamente en su siempre útil y funcional manual de "efepero mielda".

          Sin acritud y por consiguiente: habemus datam.

      • BocaDePez BocaDePez
        -12

        El cierre del area fue inmediato, lo que fueron 2 horas es lo…

        El cierre del area fue inmediato, lo que fueron 2 horas es lo que tardaron en volver a abrir el acceso a las facturas ya con el fallo subsanado. En mi opinion muy rapido.

  • BocaDePez BocaDePez
    6

    Ni una triste actualización en la noticia para indicar que el…

    Ni una triste actualización en la noticia para indicar que el problema NO está solucionado, en fin que estamos en crisis y hay que pagar las facturas a fin de mes...

    • BocaDePez BocaDePez
      6

      Yo tampoco entiendo como si el problema sigue existiendo…

      Yo tampoco entiendo como si el problema sigue existiendo según comentan más abajo la noticia sigue diciendo que "se resolvió en un tiempo record"

  • ¡¡Sigue siendo posible la descarga de facturas de otras…

    ¡¡Sigue siendo posible la descarga de facturas de otras personas desde el panel de control!!

    Después de leer la noticia me he metido en el panel para ver hasta qué punto habían metido la pata los de Jazztel y me encuentro que efectivamente han solucionado el problema que comentáis, pero sigue siendo posible la descarga de las facturas de otras personas haciendo una simple modificación en el método.

    Ruego algún admin me pase su correo para explicárselo y que avisen a Jazztel.

    • Entonces poco han solucionado no? Les vendría bien que…

      Entonces poco han solucionado no? Les vendría bien que renovasen el área de clientes y añadieran funciones como la de poder consultar los minutos gratis a móviles que se han gastado sin usar un móvil.

    • Mmmmm... yo no me puse a auditarles el sistema, puesto que no…

      Mmmmm... yo no me puse a auditarles el sistema, puesto que no me han contratado para ello, asi que todo es posible, pero en principio ahora ya comprueban que la descarga de una factura corresponde con la sesión del cliente que realiza la petición (al margen de hacer la petición de la factura al servidor con un formulario embebido, aunque eso es lo de menos).

      Deduzco por tanto, que es por otra vía... donde nuevamente no comprueban el usuario con la sesión, lo cual no me extrañaría.

      Por cuestiones académicas me interesaría conocer la variante :). ¿Podrías enviarlo a info@bandaancha.eu y pedirles que me re-envíen tu explicación? Ellos tienen mi correo desde donde les envíe ayer el problema en cuanto lo detecté

      • Se lo acabo de enviar a Josh (que acabo de encontrar su…

        Se lo acabo de enviar a Josh (que acabo de encontrar su correo en Google). Como veo que está online no creo que tarde en leerlo. Ya le he puesto también el Link a este comentario en la noticia.

        • Ya he visto el problema... no han hecho lo que creía que…

          Ya he visto el problema... no han hecho lo que creía que habían hecho, o han cambiado algo entre la prueba que hice y cuando lo has probado tú, porque lo que hice fue exactamente lo que has hecho tú... con otra herramienta y un pequeño rodeo, pero en esencia lo mismo.

          A ver si hacen lo que deben hacer (y que parecía que lo habían hecho cuando lo he verificado por la mañana, antes de que se publicase la noticia)... asociar la sesión en el panel de control a la cuenta de cliente de la factura a consultar, con eso se deberían éste problema de raíz... pero no les vendría mal revisar toda la aplicación porque es evidente que es obsoleta. Si usasen algún framework en algún otro lenguaje más moderno se quitaban bastantes problemas.

          • Yo también me he puesto a auditar un poco la web y la verdad…

            Yo también me he puesto a auditar un poco la web y la verdad es que el cambio que han hecho es mínimo, se sigue pudiendo entrar facilmente a cualquier factura... lo que antes iba por PHP GET (supongo) ahora va por POST...

            Aunque como no hay manera de poder saber cuál es el número de factura de un cliente "objetivo", un "usuario malintencionado" tendría que descargar 1.000.000 de facturas para tener la información. Unos 125 GB de datos... con lo que supongo que Jazztel se daría cuenta, y dado que hay que estar autenticado para descargar facturas... no necesitan ni rastrear la IP...

  • BocaDePez BocaDePez
    -18

    Me parece muy bonito lo de poner solucionado en tiempo récord…

    Me parece muy bonito lo de poner solucionado en tiempo récord en negrita. Como se nota quién da de comer a bandaancha. Si le llega a pasar a Movistar...

    • BocaDePez BocaDePez
      24

      quien da de comer jazztel no a bandaancha sino a salvamezone…

      quien da de comer jazztel no a bandaancha sino a salvamezone deluxe.

    • BocaDePez BocaDePez
      -6

      Si señor, si existe algún sitio nada objetivo con la…

      Si señor, si existe algún sitio nada objetivo con la información es este foro . .si este fallo fuera de telefónica lo minimo seria denunciar por vulneracion de la ley de la protección de datos que es lo que HAY QUE HACER EN ESTOS CASOS sea quien sea la operadora .

      Por favor mas seriedad hombre.

    • BocaDePez BocaDePez
      0

      Si señor, ver para creer y encima los Jazztelfabetos dan…

      Si señor, ver para creer y encima los Jazztelfabetos dan votos positivos. Que buenos son estos de Jazztel que comparten con todos los datos de las facturas de sus clientes.Cuatro positivos pa Jazztel!!!!!

  • BocaDePez BocaDePez
    12

    Por dejar que lo hagan becarios y que tengan unos…

    Por dejar que lo hagan becarios y que tengan unos supervisores que en vez de currar se rascan las pel....as, la culpa no es del becario que lo ha hecho sino el del que le supervisa.

  • BocaDePez BocaDePez
    6

    Encontré hace poco más de un año es mismo fallo en la web de…

    Encontré hace poco más de un año es mismo fallo en la web de masmovil, salvo que aquí podías descargarte todas las facturas de los clientes, tanto pasadas como presentes. Lo reporté directamente a Maini "Meinrad Spenger" CEO de Masmovil y tardaron 3 días en arreglar el fallo.

    Estuve tentado de descargarme todas las facturas de los clientes por curiosidad pero al final lo dejé pasar y no hice nada.

    • BocaDePez BocaDePez
      6

      No te preocupes, esto es como todo: Jazztel tiene…

      No te preocupes, esto es como todo: Jazztel tiene externalizado hasta el COBRO de las facturas (una empresa cobra y se queda con la pasta y se la pasa unos meses después, no recuerdo ahora los detalles), no te preocupes que esa empresa, que no está en Hispanistán naturalmente y no está acogida a ninguna ley hispanistaní, hará con los datos lo que le salga de la chorra.

    • Eso es lo que me preocupa, pero confío en que la empresa que…

      Eso es lo que me preocupa, pero confío en que la empresa que desarrolle la aplicación (creo que Ibermatica) realice una auditoría de los accesos; siempre que tengan los logs no les va a ser complicado (aunque dependerá del periodo que estén almacenando y del momento en que se haya introducido el error en la gestión de las facturas que provocaba el problema de seguridad).

      De todos modos, es necesario ser cliente, y por tanto se debe uno autenticar previamente para poder hacer algo, así que si alguien ha usado este fallo de seguridad para usos ilícitos (que lo serían independientemente de que el fallo de seguridad haya dejado al descubierto toda esta información), se puede localizar sin problemas (con lo que no creo que nadie haya sido tan estúpido)

  • BocaDePez BocaDePez
    36

    Es muy significativo que el usuario haya intentado reportar…

    Es muy significativo que el usuario haya intentado reportar el fallo por los cauces normales y le haya sido totalmente imposible, eso dice mucho de las graves carencias del call center de Jazztel, que por desgracia son similares a las de los de cualquier otro operador.

    • BocaDePez BocaDePez
      12

      El primer nivel de soporte de Jazztel es penoso, no es que…

      El primer nivel de soporte de Jazztel es penoso, no es que sepan (que no saben) o que dejen de saber, es que son unos incompetentes y unos abandonados, su única misión es cerrar el mayor número de incidentes.

    • -6

      Pero si le toco una casi analfabeta , que pretendes ? Ni no…

      Pero si le toco una casi analfabeta , que pretendes ? Ni no entendía la dimensión del fallo........... Puedes estar seguro que la criatura ya esta en la calle. Se lo merece, obviamente.......

      • BocaDePez BocaDePez
        24

        Si Jazztel contrata casi analfabetos, quizás su servicio…

        Si Jazztel contrata casi analfabetos, quizás su servicio técnico no sea tan bueno como dicen los anuncios, ¿no?

  • BocaDePez BocaDePez
    18

    El descojone, oiga, que ahora resulta que esto es una buena…

    El descojone, oiga, que ahora resulta que esto es una buena noticia XDDDDDD

  • Me ha resultado curioso el inicio de la dirección desde la…

    Me ha resultado curioso el inicio de la dirección desde la cual se provocaba el fallo, httpx.

    Nunca había oído hablar de ese protocolo; siempre se aprende algo.

  • Pues vaya menos mal, porque de ser asi alguien habrá visto…

    Pues vaya menos mal, porque de ser asi alguien habrá visto que Jazztel aun me debe 150€ :D



    200/200 Fibra Jazztel
    4G Jazztel IPhone 5S
    No soy palmero de ninguna compañía.

1