📰 Artículos

Un fallo permite descargar facturas de clientes de la web de Jazztel

Joshua Llorach 8 mayo 2012 16:47

⋮

Jazztel ha solucionado en tiempo récord una vulnerabilidad del área de clientes de su página web que permitía descargar facturas de cualquier usuario simplemente con introducir su número en la barra de direcciones del navegador.

El problema lo reportó durante el día de ayer el forero Wileeam, tras descubrir por casualidad que desde su espacio de cliente podía descargar las facturas de cualquier usuario. Para ello, simplemente era necesario modificar manualmente la URL del navegador cambiando el número de factura.

Los experimentos los he hecho por casualidad al querer ver la factura embebida en el navegador web y equivocarme al copiar y tener que completar el dato del identificador de la factura y equivocarme de nuevo obteniendo una factura que no está a mi nombre.

En la URL simplemente había que introducir el ID de un usuario válido y un número de factura.

httpx://clientes.jazztel.com/PanelControl/paginas/facturacion/prox.php?action=resumen&tipo=pdf&idc=YYYYYYYY&id=JXXXXXXXXX

Wileeam trató de notificarlo a Jazztel a través de los cauces habituales, mediante el servicio técnico y a través de un comercial, pero solo consiguió que se abriese una reclamación.

Esto supone una grave violación de la Ley de Protección de Datos pues es posible agenciarse de todo el banco de facturas de Jazztel en estos instantes. Literalmente podría descargarme todas las facturas, pues la numeración es consecutiva (y las facturas incluyen datos personales, al igual que los números de teléfono llamados).

Entre los datos visibles en la factura se encuentra el nombre y apellidos del cliente, domicilio, teléfono, detalles del consumo y el número de cuenta bancaria.

Jazztel soluciona el problema en menos de 2 horas

La reacción de Jazztel tras conocer el problema ha sido contundente. A las 12:35 mandábamos aviso directo a los responsables de la operadora. Una hora después deshabilitaban el área de cliente, que ha vuelto a funcionar sobre las 15:45. En este momento la vulnerabilidad está subsanada.

💬 Comentarios

heffeque 8 mayo 2012 17:02

-2

⋮

✖

BocaDePez 8 mayo 2012 17:09

⋮

Pues lo que para vosotros es un tiempo récord para mí es ser muy lento...

Una hora para desactivar el área de cliente?

✖

BocaDePez 8 mayo 2012 18:20

-3

⋮

BocaDePez 8 mayo 2012 17:16

⋮

Se les comunicó ayer, pasaron del cliente, y no han hecho nada hasta que hoy alguien con acceso a puestos superiores dentro de la empresa lo ha comunicado de nuevo y le han hecho caso, y aun así han tardado una hora en reaccionar.

Si eso es celeridad no se que será ser lento.

✖

Filiprino 8 mayo 2012 17:27

-4

⋮

✖

BocaDePez 8 mayo 2012 18:16

⋮

✖

Filiprino 8 mayo 2012 19:13

-2

⋮

BocaDePez 8 mayo 2012 19:46

⋮

heffeque 9 mayo 2012 12:39

-2

⋮

✖

BocaDePez 9 mayo 2012 18:14

⋮

✖

Filiprino 9 mayo 2012 18:38

-2

⋮

✖

BocaDePez 9 mayo 2012 19:36

⋮

BocaDePez 9 mayo 2012 21:47

⋮

heffeque 9 mayo 2012 20:49

⋮

✖

BocaDePez 9 mayo 2012 21:48

⋮

✖

heffeque 10 mayo 2012 07:50

-1

⋮

✖

BocaDePez 10 mayo 2012 13:58

⋮

BocaDePez 9 mayo 2012 18:18

⋮

✖

wileeam 10 mayo 2012 11:00

⋮

✖

BocaDePez 10 mayo 2012 16:02

-1

⋮

BocaDePez 8 mayo 2012 17:10

⋮

Es muy significativo que el usuario haya intentado reportar el fallo por los cauces normales y le haya sido totalmente imposible, eso dice mucho de las graves carencias del call center de Jazztel, que por desgracia son similares a las de los de cualquier otro operador.

✖

Emad 8 mayo 2012 17:52

-2

⋮

Pero si le toco una casi analfabeta , que pretendes ? Ni no entendía la dimensión del fallo........... Puedes estar seguro que la criatura ya esta en la calle. Se lo merece, obviamente.......

✖

BocaDePez 8 mayo 2012 19:40

⋮

Si Jazztel contrata casi analfabetos, quizás su servicio técnico no sea tan bueno como dicen los anuncios, ¿no?

BocaDePez 8 mayo 2012 18:55

⋮

El primer nivel de soporte de Jazztel es penoso, no es que sepan (que no saben) o que dejen de saber, es que son unos incompetentes y unos abandonados, su única misión es cerrar el mayor número de incidentes.

✖

BocaDePez 8 mayo 2012 20:40

-3

⋮

1002SATANAS 8 mayo 2012 17:54

⋮

Pues vaya menos mal, porque de ser asi alguien habrá visto que Jazztel aun me debe 150€ :D

Bramante 8 mayo 2012 18:04

-2

⋮

BocaDePez 8 mayo 2012 18:14

⋮

Lo mejor es el tiempo que más de uno llevaría bajándose facturas de sus «conocidos» usando este bug.

✖

wileeam 8 mayo 2012 18:53

⋮

Eso es lo que me preocupa, pero confío en que la empresa que desarrolle la aplicación (creo que Ibermatica) realice una auditoría de los accesos; siempre que tengan los logs no les va a ser complicado (aunque dependerá del periodo que estén almacenando y del momento en que se haya introducido el error en la gestión de las facturas que provocaba el problema de seguridad).

De todos modos, es necesario ser cliente, y por tanto se debe uno autenticar previamente para poder hacer algo, así que si alguien ha usado este fallo de seguridad para usos ilícitos (que lo serían independientemente de que el fallo de seguridad haya dejado al descubierto toda esta información), se puede localizar sin problemas (con lo que no creo que nadie haya sido tan estúpido)

BocaDePez 8 mayo 2012 21:38

⋮

No te preocupes, esto es como todo: Jazztel tiene externalizado hasta el COBRO de las facturas (una empresa cobra y se queda con la pasta y se la pasa unos meses después, no recuerdo ahora los detalles), no te preocupes que esa empresa, que no está en Hispanistán naturalmente y no está acogida a ninguna ley hispanistaní, hará con los datos lo que le salga de la chorra.

BocaDePez 8 mayo 2012 19:04

⋮

El descojone, oiga, que ahora resulta que esto es una buena noticia XDDDDDD

ManiruIV 8 mayo 2012 19:11

⋮

¡¡Sigue siendo posible la descarga de facturas de otras personas desde el panel de control!!

Después de leer la noticia me he metido en el panel para ver hasta qué punto habían metido la pata los de Jazztel y me encuentro que efectivamente han solucionado el problema que comentáis, pero sigue siendo posible la descarga de las facturas de otras personas haciendo una simple modificación en el método.

Ruego algún admin me pase su correo para explicárselo y que avisen a Jazztel.

✖

wileeam 8 mayo 2012 19:40

⋮

Mmmmm... yo no me puse a auditarles el sistema, puesto que no me han contratado para ello, asi que todo es posible, pero en principio ahora ya comprueban que la descarga de una factura corresponde con la sesión del cliente que realiza la petición (al margen de hacer la petición de la factura al servidor con un formulario embebido, aunque eso es lo de menos).

Deduzco por tanto, que es por otra vía... donde nuevamente no comprueban el usuario con la sesión, lo cual no me extrañaría.

Por cuestiones académicas me interesaría conocer la variante :). ¿Podrías enviarlo a info@bandaancha.eu y pedirles que me re-envíen tu explicación? Ellos tienen mi correo desde donde les envíe ayer el problema en cuanto lo detecté

✖

ManiruIV 8 mayo 2012 19:48

⋮

Se lo acabo de enviar a Josh (que acabo de encontrar su correo en Google). Como veo que está online no creo que tarde en leerlo. Ya le he puesto también el Link a este comentario en la noticia.

✖

ManiruIV 8 mayo 2012 20:10

⋮

Lo acabo de enviar también al correo info@bandaancha.eu para agilizar el asunto.

✖

Ari 8 mayo 2012 20:27

⋮

Acabo de avisarle para más seguridad.

Los correos de los mods son nick +@bandaaancha.eu ;)

Saludos

✖

ManiruIV 8 mayo 2012 20:32

⋮

wileeam 8 mayo 2012 23:40

⋮

Ya he visto el problema... no han hecho lo que creía que habían hecho, o han cambiado algo entre la prueba que hice y cuando lo has probado tú, porque lo que hice fue exactamente lo que has hecho tú... con otra herramienta y un pequeño rodeo, pero en esencia lo mismo.

A ver si hacen lo que deben hacer (y que parecía que lo habían hecho cuando lo he verificado por la mañana, antes de que se publicase la noticia)... asociar la sesión en el panel de control a la cuenta de cliente de la factura a consultar, con eso se deberían éste problema de raíz... pero no les vendría mal revisar toda la aplicación porque es evidente que es obsoleta. Si usasen algún framework en algún otro lenguaje más moderno se quitaban bastantes problemas.

✖

20megasya 9 mayo 2012 00:11

⋮

Yo también me he puesto a auditar un poco la web y la verdad es que el cambio que han hecho es mínimo, se sigue pudiendo entrar facilmente a cualquier factura... lo que antes iba por PHP GET (supongo) ahora va por POST...

Aunque como no hay manera de poder saber cuál es el número de factura de un cliente "objetivo", un "usuario malintencionado" tendría que descargar 1.000.000 de facturas para tener la información. Unos 125 GB de datos... con lo que supongo que Jazztel se daría cuenta, y dado que hay que estar autenticado para descargar facturas... no necesitan ni rastrear la IP...

ROSENDO 8 mayo 2012 23:51

-1

⋮

Entonces poco han solucionado no? Les vendría bien que renovasen el área de clientes y añadieran funciones como la de poder consultar los minutos gratis a móviles que se han gastado sin usar un móvil.

BocaDePez 8 mayo 2012 22:02

-4

⋮

✖

BocaDePez 8 mayo 2012 22:09

-1

⋮

Si señor, ver para creer y encima los Jazztelfabetos dan votos positivos. Que buenos son estos de Jazztel que comparten con todos los datos de las facturas de sus clientes.Cuatro positivos pa Jazztel!!!!!

BocaDePez 8 mayo 2012 22:21

-2

⋮

Si señor, si existe algún sitio nada objetivo con la información es este foro . .si este fallo fuera de telefónica lo minimo seria denunciar por vulneracion de la ley de la protección de datos que es lo que HAY QUE HACER EN ESTOS CASOS sea quien sea la operadora .

Por favor mas seriedad hombre.

BocaDePez 8 mayo 2012 23:59

⋮

quien da de comer jazztel no a bandaancha sino a salvamezone deluxe.

BocaDePez 8 mayo 2012 22:30

⋮

Encontré hace poco más de un año es mismo fallo en la web de masmovil, salvo que aquí podías descargarte todas las facturas de los clientes, tanto pasadas como presentes. Lo reporté directamente a Maini "Meinrad Spenger" CEO de Masmovil y tardaron 3 días en arreglar el fallo.

Estuve tentado de descargarme todas las facturas de los clientes por curiosidad pero al final lo dejé pasar y no hice nada.

BocaDePez 8 mayo 2012 23:37

⋮

Por dejar que lo hagan becarios y que tengan unos supervisores que en vez de currar se rascan las pel....as, la culpa no es del becario que lo ha hecho sino el del que le supervisa.

BocaDePez 9 mayo 2012 18:22

⋮

Ni una triste actualización en la noticia para indicar que el problema NO está solucionado, en fin que estamos en crisis y hay que pagar las facturas a fin de mes...

✖

BocaDePez 10 mayo 2012 01:18

⋮

Yo tampoco entiendo como si el problema sigue existiendo según comentan más abajo la noticia sigue diciendo que "se resolvió en un tiempo record"

jesusiete 9 mayo 2012 23:53

⋮

Ya lo dice el anuncio,ahorraras y te quedarás por el servicio tecnico,manda wewos.

BocaDePez 11 mayo 2012 16:46

⋮

Ya pasó con R hace meses, lo mejor es publicarlo en un sitio BIEN VISIBLE (que vean ellos sobre todo). Si llamas a desatención al cliente pasan de ti, no hay nada como que lo vean los responsables en un sitio PÚBLICO como este.

Lamentablemente es lo único eficaz para que lo solucionen pronto.