Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Un fallo permite descargar facturas de clientes de la web de Jazztel

Josh
factura-jazztel.png

Jazztel ha solucionado en tiempo récord una vulnerabilidad del área de clientes de su página web que permitía descargar facturas de cualquier usuario simplemente con introducir su número en la barra de direcciones del navegador.

El problema lo reportó durante el día de ayer el forero Wileeam, tras descubrir por casualidad que desde su espacio de cliente podía descargar las facturas de cualquier usuario. Para ello, simplemente era necesario modificar manualmente la URL del navegador cambiando el número de factura.

Los experimentos los he hecho por casualidad al querer ver la factura embebida en el navegador web y equivocarme al copiar y tener que completar el dato del identificador de la factura y equivocarme de nuevo obteniendo una factura que no está a mi nombre.

En la URL simplemente había que introducir el ID de un usuario válido y un número de factura.

httpx://clientes.jazztel.com/PanelControl/paginas/facturacion/prox.php?action=resumen&tipo=pdf&idc=YYYYYYYY&id=JXXXXXXXXX

Wileeam trató de notificarlo a Jazztel a través de los cauces habituales, mediante el servicio técnico y a través de un comercial, pero solo consiguió que se abriese una reclamación.

Esto supone una grave violación de la Ley de Protección de Datos pues es posible agenciarse de todo el banco de facturas de Jazztel en estos instantes. Literalmente podría descargarme todas las facturas, pues la numeración es consecutiva (y las facturas incluyen datos personales, al igual que los números de teléfono llamados).

Entre los datos visibles en la factura se encuentra el nombre y apellidos del cliente, domicilio, teléfono, detalles del consumo y el número de cuenta bancaria.

Jazztel soluciona el problema en menos de 2 horas

La reacción de Jazztel tras conocer el problema ha sido contundente. A las 12:35 mandábamos aviso directo a los responsables de la operadora. Una hora después deshabilitaban el área de cliente, que ha vuelto a funcionar sobre las 15:45. En este momento la vulnerabilidad está subsanada.

heffeque
-2
🗨️ 19
BocaDePez
BocaDePez
5

Pues lo que para vosotros es un tiempo récord para mí es ser muy lento...

Una hora para desactivar el área de cliente?

🗨️ 1
BocaDePez
BocaDePez
-3
BocaDePez
BocaDePez
5

Se les comunicó ayer, pasaron del cliente, y no han hecho nada hasta que hoy alguien con acceso a puestos superiores dentro de la empresa lo ha comunicado de nuevo y le han hecho caso, y aun así han tardado una hora en reaccionar.

Si eso es celeridad no se que será ser lento.

🗨️ 16
Filiprino
-4
🗨️ 15
BocaDePez
BocaDePez
1
🗨️ 1
BocaDePez
BocaDePez
3
heffeque
-2
🗨️ 11
BocaDePez
BocaDePez
1
🗨️ 7
BocaDePez
BocaDePez
1
BocaDePez
BocaDePez
1
heffeque
🗨️ 3
BocaDePez
BocaDePez
2
🗨️ 2
heffeque
-1
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez
2
🗨️ 2
wileeam
1
🗨️ 1
BocaDePez
BocaDePez
-1
BocaDePez
BocaDePez
5

Es muy significativo que el usuario haya intentado reportar el fallo por los cauces normales y le haya sido totalmente imposible, eso dice mucho de las graves carencias del call center de Jazztel, que por desgracia son similares a las de los de cualquier otro operador.

🗨️ 4
Emad
-2

Pero si le toco una casi analfabeta , que pretendes ? Ni no entendía la dimensión del fallo........... Puedes estar seguro que la criatura ya esta en la calle. Se lo merece, obviamente.......

🗨️ 1
BocaDePez
BocaDePez
3

Si Jazztel contrata casi analfabetos, quizás su servicio técnico no sea tan bueno como dicen los anuncios, ¿no?

BocaDePez
BocaDePez
1

El primer nivel de soporte de Jazztel es penoso, no es que sepan (que no saben) o que dejen de saber, es que son unos incompetentes y unos abandonados, su única misión es cerrar el mayor número de incidentes.

🗨️ 1
BocaDePez
BocaDePez
-3
1002SATANAS

Pues vaya menos mal, porque de ser asi alguien habrá visto que Jazztel aun me debe 150€ :D

BocaDePez
BocaDePez
1

Lo mejor es el tiempo que más de uno llevaría bajándose facturas de sus «conocidos» usando este bug.

🗨️ 2
wileeam

Eso es lo que me preocupa, pero confío en que la empresa que desarrolle la aplicación (creo que Ibermatica) realice una auditoría de los accesos; siempre que tengan los logs no les va a ser complicado (aunque dependerá del periodo que estén almacenando y del momento en que se haya introducido el error en la gestión de las facturas que provocaba el problema de seguridad).

De todos modos, es necesario ser cliente, y por tanto se debe uno autenticar previamente para poder hacer algo, así que si alguien ha usado este fallo de seguridad para usos ilícitos (que lo serían independientemente de que el fallo de seguridad haya dejado al descubierto toda esta información), se puede localizar sin problemas (con lo que no creo que nadie haya sido tan estúpido)

BocaDePez
BocaDePez

No te preocupes, esto es como todo: Jazztel tiene externalizado hasta el COBRO de las facturas (una empresa cobra y se queda con la pasta y se la pasa unos meses después, no recuerdo ahora los detalles), no te preocupes que esa empresa, que no está en Hispanistán naturalmente y no está acogida a ninguna ley hispanistaní, hará con los datos lo que le salga de la chorra.

BocaDePez
BocaDePez
2

El descojone, oiga, que ahora resulta que esto es una buena noticia XDDDDDD

ManiruIV
3

¡¡Sigue siendo posible la descarga de facturas de otras personas desde el panel de control!!

Después de leer la noticia me he metido en el panel para ver hasta qué punto habían metido la pata los de Jazztel y me encuentro que efectivamente han solucionado el problema que comentáis, pero sigue siendo posible la descarga de las facturas de otras personas haciendo una simple modificación en el método.

Ruego algún admin me pase su correo para explicárselo y que avisen a Jazztel.

🗨️ 8
wileeam

Mmmmm... yo no me puse a auditarles el sistema, puesto que no me han contratado para ello, asi que todo es posible, pero en principio ahora ya comprueban que la descarga de una factura corresponde con la sesión del cliente que realiza la petición (al margen de hacer la petición de la factura al servidor con un formulario embebido, aunque eso es lo de menos).

Deduzco por tanto, que es por otra vía... donde nuevamente no comprueban el usuario con la sesión, lo cual no me extrañaría.

Por cuestiones académicas me interesaría conocer la variante :). ¿Podrías enviarlo a info@bandaancha.eu y pedirles que me re-envíen tu explicación? Ellos tienen mi correo desde donde les envíe ayer el problema en cuanto lo detecté

🗨️ 6
ManiruIV

Se lo acabo de enviar a Josh (que acabo de encontrar su correo en Google). Como veo que está online no creo que tarde en leerlo. Ya le he puesto también el Link a este comentario en la noticia.

🗨️ 5
ManiruIV

Lo acabo de enviar también al correo info@bandaancha.eu para agilizar el asunto.

🗨️ 2
Ari

Acabo de avisarle para más seguridad.

Los correos de los mods son nick +@bandaaancha.eu ;)

Saludos

🗨️ 1
ManiruIV
wileeam

Ya he visto el problema... no han hecho lo que creía que habían hecho, o han cambiado algo entre la prueba que hice y cuando lo has probado tú, porque lo que hice fue exactamente lo que has hecho tú... con otra herramienta y un pequeño rodeo, pero en esencia lo mismo.

A ver si hacen lo que deben hacer (y que parecía que lo habían hecho cuando lo he verificado por la mañana, antes de que se publicase la noticia)... asociar la sesión en el panel de control a la cuenta de cliente de la factura a consultar, con eso se deberían éste problema de raíz... pero no les vendría mal revisar toda la aplicación porque es evidente que es obsoleta. Si usasen algún framework en algún otro lenguaje más moderno se quitaban bastantes problemas.

🗨️ 1
20megasya

Yo también me he puesto a auditar un poco la web y la verdad es que el cambio que han hecho es mínimo, se sigue pudiendo entrar facilmente a cualquier factura... lo que antes iba por PHP GET (supongo) ahora va por POST...

Aunque como no hay manera de poder saber cuál es el número de factura de un cliente "objetivo", un "usuario malintencionado" tendría que descargar 1.000.000 de facturas para tener la información. Unos 125 GB de datos... con lo que supongo que Jazztel se daría cuenta, y dado que hay que estar autenticado para descargar facturas... no necesitan ni rastrear la IP...

ROSENDO
-1

Entonces poco han solucionado no? Les vendría bien que renovasen el área de clientes y añadieran funciones como la de poder consultar los minutos gratis a móviles que se han gastado sin usar un móvil.

BocaDePez
BocaDePez
-4
🗨️ 3
BocaDePez
BocaDePez
-1

Si señor, ver para creer y encima los Jazztelfabetos dan votos positivos. Que buenos son estos de Jazztel que comparten con todos los datos de las facturas de sus clientes.Cuatro positivos pa Jazztel!!!!!

BocaDePez
BocaDePez
-2

Si señor, si existe algún sitio nada objetivo con la información es este foro . .si este fallo fuera de telefónica lo minimo seria denunciar por vulneracion de la ley de la protección de datos que es lo que HAY QUE HACER EN ESTOS CASOS sea quien sea la operadora .

Por favor mas seriedad hombre.

BocaDePez
BocaDePez
3

quien da de comer jazztel no a bandaancha sino a salvamezone deluxe.

BocaDePez
BocaDePez

Encontré hace poco más de un año es mismo fallo en la web de masmovil, salvo que aquí podías descargarte todas las facturas de los clientes, tanto pasadas como presentes. Lo reporté directamente a Maini "Meinrad Spenger" CEO de Masmovil y tardaron 3 días en arreglar el fallo.

Estuve tentado de descargarme todas las facturas de los clientes por curiosidad pero al final lo dejé pasar y no hice nada.

BocaDePez
BocaDePez
1

Por dejar que lo hagan becarios y que tengan unos supervisores que en vez de currar se rascan las pel....as, la culpa no es del becario que lo ha hecho sino el del que le supervisa.

BocaDePez
BocaDePez
0

Ni una triste actualización en la noticia para indicar que el problema NO está solucionado, en fin que estamos en crisis y hay que pagar las facturas a fin de mes...

🗨️ 1
BocaDePez
BocaDePez

Yo tampoco entiendo como si el problema sigue existiendo según comentan más abajo la noticia sigue diciendo que "se resolvió en un tiempo record"

jesusiete

Ya lo dice el anuncio,ahorraras y te quedarás por el servicio tecnico,manda wewos.

BocaDePez
BocaDePez
1

Ya pasó con R hace meses, lo mejor es publicarlo en un sitio BIEN VISIBLE (que vean ellos sobre todo). Si llamas a desatención al cliente pasan de ti, no hay nada como que lo vean los responsables en un sitio PÚBLICO como este.

Lamentablemente es lo único eficaz para que lo solucionen pronto.