Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fijo

"Pequeño" error en la web de clientes de R

BocaDePez
BocaDePez

Para mi es un error grave por el tema de seguridad que implica, pero tampoco para matar a nadie. Nuestros datos de clientes están en la web de R y con sólo saber el identificador de la factura, el NIF del cliente y el identificador de cuenta, sin necesidad de ninguna contraseña ni de hacer login, se puede acceder a la factura.

Por ejemplo:

(link roto)

Para probar esto: Haz login y copia el enlace de una factura, cierra sesión y pega el enlace en un navegador et voilá!, puedes entrar a la factura.

No es que sea muy muy muy grave, pero si alguien de R ve esto, podría solucionarlo o avisar al departamento que sea para que se compruebe si el usuario ha hecho o no login en esa página y aumentar así un poco la seguridad de nuestros datos.

Que si, que el número de cuenta de cliente y el id de factura serán difíciles de obtener y no serán públicos, pero queda bastante mal y puede dar acceso a intentos por fuerza bruta.

PD No llamo a R porque el servicio de atención al cliente me da miedo.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
quecheparece
1

Lo miramos ahora mismo. Gracias por avisar.

BocaDePez
BocaDePez
-1

los "hackers" de verdad lo comentan a los responsables antes y cuando éstos no responden en tiempo razonable, lo publican ;-)

🗨️ 11
fervigo

Ahora va a ser que el fallo lo tiene el cliente y no vosotros. Si home sí. Más le valía a R que a algún reincidente en el foro lo atasen en corto.

🗨️ 3
quecheparece

Como te he comentado por correo, gracias por el aviso. Tanto a ti (hay días que no visito el foro) como al cliente que ha descubierto el problema. Lógicamente el error era nuestro. Lo acabamos de mirar y ya se vuelve a pedir el login.

🗨️ 1
fervigo

De nada ;)

BocaDePez
BocaDePez

hola! conste, yo hace meses que no paso por aquí :) pero como comento abajo, no pretendía echarle la culpa a él, sólo pedir que en situaciones similares, se haga como se suele hacer en estos casos, avisar primero a los responsables de la web y sólo si no responden y corrigen, publicarlo para obligarles a hacerlo

pero la cagada es POR SUPUESTO 100% nuestra (o incluso mía, para ser exactos) :)

Josh

Es un cliente, de esos que os dan de comer, así que más vale que subsanes los fallos y no busques culpables fuera.

Silvestreya

Hubo un fallo de seguridad, que ya parece estar resuelto (felicidades a R por la rapidez). Hacker o no hacker lo ha puesto en el foro, por alguna razón:

PD No llamo a R porque el servicio de atención al cliente me da miedo.

🗨️ 5
BocaDePez
BocaDePez

hola! escribo "desde dentro"

hemos estado trabajando en ello, porque aunque durante unas horas activamos el login, no era ese el problema (nunca tuvo login, utiliza un mecanismo de seguridad diferente); fue ese otro sistema el que nos cargamos, lamentablemente, en alguna actualización. :(

lo malo de activar hoy el login es que no funcionaba correctamente en Explorer la descarga del PDF (sí funcionó durante la tarde con FireFox y Chrome); ahora ya está cerrado el servicio y los links no funcionan sin una sesión correcta

lo primero: mil gracias, sin el aviso, el problema podría seguir durante semanas sin que nadie lo detectara; lo importante es que nos enteramos gracias a vosotros!

lo segundo: "pero" al haberlo publicado aquí antes que pe. en el formulario de "fala con R" de la web de clientes, (no hace falta llamar por teléfono), tardamos dos horas en tenerlo solucionado desde que salió publicado, con lo cual, aunque por fuerza bruta hubiera sido difícil (son trillones de combinaciones a probar, pero puede optimizarse muchísimo cualquier ataque fijandose en el formato de los parámetros), aún así y por seguridad de todos vosotros estamos repasando los logs por si hubiera que denunciar algún intento :)

de ahí mi queja de entonces (lo de "avisar y esperar tiempo prudencial" es la norma cuando en este negocio encontramos un fallo en web ajena, yo mismo lo he tenido que hacer alguna vez)

aunque no me extraña que le dé miedo hablar si incluso en bandaancha.st parece que le echamos la culpa de este problema a él :) :) (que insisto, no es así)

gracias por todo

🗨️ 4
BocaDePez
BocaDePez

Veo que has entendido mi dilema. Soy informático y tengo avisado de problemas hasta a bancos (tampoco graves, bueno uno "grave" pero no tanto), hablando por teléfono me tienen echado la culpa o me tienen dicho que no es problema, por eso ahora directamente publico donde lo pueda ver algún responsable si el error no es grave (como en este caso) y envío carta si considero que lo es (los emails no suelen funcionar ni llegar a quien corresponde, en mi experiencia personal).

Gracias por solucionarlo, pero tal como lo teníais montado podría considerarse que la combinación de esas tres variables era la "clave" del usuario. Era inseguro, pero tampoco grave, hay organismos oficiales que tienen cosas de este estilo funcionando (y las han tenido durante años) y no lo consideran fallo de seguridad.

En cuanto a lo de avisar por la web de clientes, mi experiencia es que nunca llega al departamento que tiene que llegar (os he escrito dos veces y ninguna solución satisfactoria). Si, es una pequeña putada publicarlo, pero si no es grave (como es el caso) también os hace moveros antes.

🗨️ 1
Josh

Ya quisieran muchas telecos solucionar este tipo de incidentes tan rápido. Enhorabuena.

🗨️ 1
alesgrim