📰 Artículos

Páginas Blancas corrige un fallo que permitía descargas masivas de datos de abonados

Joshua Llorach 25 agosto 2011 10:50 ✎

⋮

Las empresas que se dedican al spam telefónico pueden obtener grandes volúmenes de datos de usuarios de telefonía fija de forma automatizada gracias a la falta de seguridad de la web de paginasblancas.es. Los responsables del directorio telefónico han solucionado parcialmente el problema.

Las búsqueda más genérica que permite hacer las Páginas Blancas consiste en buscar un nombre dentro de una provincia. Los resultados están restringidos a los 50 primeros, para evitar descargas masivas de información.

blancas.paginasamarillas.es/jsp/resultados.jsp?no=Alejandro&nomprov=x&pg=2

Sin embargo, estos límites son fácilmente salvables llamando directamente a la URL de búsqueda y modificando sus parámetros. La ausencia de un captcha facilita la programación de un script para hacerlo de forma automatizada. Así, es posible hacer búsquedas en toda España simplemente vaciando el parámetro "sec" y obtener el total de registros, incrementando secuencialmente el parámetro de paginación "pg". La única limitación que nos quedaría es el nombre.

Security By Default va más lejos y propone utilizar las bases de datos de la web del Instituto Nacional de Estadística para obtener un listado de nombres y buscar cada uno de ellos. El resultado es una enorme base de datos con 9,7 millones de registros en la que podemos hacer búsquedas inversas y encontrar el titular de una línea a partir del número.

Desde Security By Default aseguran que el problema está reportado y arreglado. Sin embargo, la solución improvisada de paginasblancas.es consiste en cambiar el parámetro que restringe la búsqueda a una provincia, de nomprov, que ahora comprueba que no viene vacío, a sec, con el código provincial (dos primeros dígitos del código postal) y limitar pag a 5. Pero si se vacía sec, pueden seguir haciéndose búsquedas en todo el país.

Cómo desaparecer de las Páginas Blancas

El servicio de Página Blancas permite buscar fácilmente el número de teléfono fijo de un usuario a partir de su nombre, apellidos y provincia donde reside. Aparecen en este directorio los datos de todas las personas que dan de alta una línea telefónica. Según la Ley de Protección de Datos, los repertorios telefónicos no necesitan el consentimiento expreso del titular de los datos, pero si uno no quiere aparecer en ellos, puede solicitar su exclusión a la operadora que le da servicio, lo que tendrá que efectuarse en un plazo de 10 días.

La mayoría de la gente no lo hace, así que las Páginas Blancas son una inagotable fuente de objetivos para las empresas de marketing online. Las distribuidoras de ADSL que realizan spam telefónico en busca de nuevos clientes, nutren sus bases de datos de las páginas blancas, por lo que si nos queremos librar de sus incesantes llamadas, el primer paso debe ser desaparecer de las listas.

💬 Comentarios

engasada 25 agosto 2011 11:04

⋮

Sin saber que existía, corregí el "bug" dandome de baja. Desde entonces ha descendido enormemente el spam telefónico que recibo.

✖

Jorgebcn 25 agosto 2011 11:19

⋮

igual que yo, desde que no aparezco en paginas blancas recibo muchisimas menos llamadas de spam

p.d: para darse de baja de paginas blancas hay una opcion en "mi movistar fijo"

un saludo

BocaDePez 25 agosto 2011 11:43

⋮

No se de donde habrán sacado mis datos, pero después de no aparecer durante tres años ahora mis datos vuelven a aparecer por arte de magia, sólo que ahora lo hacen con una U delante.

Es extraño, cuando estaba en telefónica hace casi 4 años se dió de baja y no hemos aparecido en ninguna guía escrita. Ahora sin embargo, mi operador actual dice que no lo tengo puesto (además firmado en contrato) pero mis datos están ahí.

¿puede ser que telefónica haya volcado los datos de nuevo sin mi consentimiento? sólo he cambiado una vez de operador, es decir, no ha más operadores implicados

✖

BocaDePez 25 agosto 2011 18:02

⋮

Paginas amarillas y paginas blancas son de la compañia Yell y no tienen ninguna relación actualmente con telefónica por lo que es bastante dudoso que telefonica haya volcado tus datos de nuevo

✖

Pnia 25 agosto 2011 22:12

⋮

Pues a día de hoy no se nada, pero hasta hace tiempo, si no estoy equivocado, páginas amarillas, cuando las daban cada año o dos años a todos los abonados, eran de Telefónica.

✖

BocaDePez 26 agosto 2011 08:02

⋮

Hace 5 años

NetSpot 25 agosto 2011 22:33

⋮

La latra U significa justo eso, que no pueden hacerte llamadas de carácter comercial.

Te lo digo de memoria, pero está en las guías gratuitas (ya no lo son, ¿no?) que repartían.

✖

BocaDePez 26 agosto 2011 02:03

⋮

Se supone que si es eso, lo que ocurre es que solicitamos expresamente NO aparecer y así ha sido durante 3 años. No entiendo porque ahora me han vuelto a poner y que casualidad que ahora con la U.

BocaDePez 25 octubre 2011 23:25

⋮

Todas las empresas de información telefónica tiene derecho a obtener de la CMT copia del fichero del repertorio telefónico. Si alguien desea no aparecer solo tiene que pedirselo a su operadora, que le marcará como excluido y lo comunicará a a CMT, que lo retira del repertorio telefónico.

EL borrado que hiciste con Telefonica no cuenta con tu nueva operadora. Has de ver el contrato, pues ahí estará tu opción. Telefonica se limita a ceder la línea a la operadora receptora de la línea, pero no da mas datos.

Inspector de Datos

BocaDePez 25 agosto 2011 20:51

⋮

Te dan de alta sin consentimiento, sin firmar nada y ahí te quedas expuesto a terceros. Y encima para darte de baja hay que liar la de dios con escritos e historias. Hasta cuando?

✖

BocaDePez 25 agosto 2011 22:07

⋮

Sin permiso no, cuando das de alta el teléfono, el recibo que firmas al técnico aparece si deseas aparecer en la guía, creo recordar, aún así se lo pasan por el forro.

BocaDePez 31 agosto 2011 11:01

⋮

Tampoco es tan difícil darse de baja. Cuando lo hice, hace años, me valió una simple llamada telefónica, teniendo una factura delante para consultar datos (número de contrato, o algo así). No sé si ahora es algo más complicado, pero lo dudo.

BocaDePez 25 octubre 2011 23:28

⋮

Es muy fácil darse de baja. Solo tienes que pedirlo a tu operadora. En el siguiente envio que hagan a la CMT apareceras como excluido y cuando les pasen los datos a las empresas de información telefonica, dejaras de aparecer.

Inspector de Datos

BocaDePez 26 agosto 2011 01:35

⋮

Yo trabajo con objetos perdidos, y lo primero es mirar en las paginas blancas y si hay suerte se devuelven enseguida, normalmente el mismo dia, sino, lo de la carta o esperar a que pregunten y ahi quedan almacenados para siempre.

BocaDePez 26 agosto 2011 16:28 ✎

⋮

Tal como he comentado en Security by Default, la solucion "parcial" no es en absoluto solucion:

Realmente, el script de security by default sigue siendo plenamente operativo, ya que solamente han hecho un lavado de cara pero no han solucionado NADA
cogemos la linea 7 del script en bash

PARAMS="no=$name&sec=15&tbus=0&idioma=tml_lang&pg=$get&pext=null"

el bug antes consistia en quitar el nombre de la provincia, como bien se ha indicado, pero si sustituimos la linea por la siguiente:

PARAMS="no=$name&nomprov=tariro&tbus=0&idioma=tml_lang&pg=$get&pext=null"

volvemos a tener el sistema plenamente operativo, ya que ahora el nombre de la provincia es requerido, pero el parametro SEC, que indicaba el numero de la provincia, lo retiramos, poniendo una provincia con nombre falso, y listo. Funcionando otra vez
…un maquinon el programador que haya arreglado el problema si señor

skuts 26 agosto 2011 17:55

⋮

¿no deberian 'castigar' a esta gente?